-
06/07/2013
-
796
-
1.304 bài viết
Cảnh báo lỗ hổng nghiêm trọng trong Adobe Illustrator
Các bản cập nhật do Adobe phát hành vào tuần trước cho phần mềm Illustrator đã vá hai lỗ hổng có thể dẫn đến việc thực thi mã tùy ý.
Theo Adobe, Illustrator phiên bản 2021 và 2022 cho Windows và macOS bị ảnh hưởng do xác thực đầu vào không đúng cách và các lỗ hổng đọc ngoài giới hạn (out-of-bounds read) có thể dẫn đến thực thi mã độc.
Dựa trên điểm CVSS, Adobe xác định các lỗ hổng có "mức độ nghiêm trọng cao".
Các khuyến nghị do ZDI đưa ra tiết lộ rằng các lỗ hổng có liên quan đến việc phân tích cú pháp các tập tin PCX và CDR.
Theo đó, kẻ tấn công sẽ gửi một tập tin không đúng định dạng cho người dùng được nhắm mục tiêu và thuyết phục họ mở tập tin bằng phiên bản Illustrator ảnh hưởng bởi lỗ hổng.
Ngoài kỹ thuật xã hội (social engineering), việc khai thác lỗ hổng cần phải bypass các cơ chế bảo vệ bộ nhớ trong Windows, chẳng hạn như DEP và ASLR.
Adobe đã chỉ định các lỗ hổng được xếp hạng ưu tiên là 3, điều này cho thấy rằng gã khổng lồ phần mềm không mong đợi chúng bị khai thác trong các cuộc tấn công độc hại.
Đây là đợt cập nhật Illustrator thứ 7 được Adobe công bố trong năm 2022. Gần như tất cả các bản cập nhật trước đó đều vá các lỗ hổng thực thi mã tùy ý quan trọng. Hơn 40 lỗ hổng đã được vá trong sản phẩm năm nay.
Theo Adobe, Illustrator phiên bản 2021 và 2022 cho Windows và macOS bị ảnh hưởng do xác thực đầu vào không đúng cách và các lỗ hổng đọc ngoài giới hạn (out-of-bounds read) có thể dẫn đến thực thi mã độc.
Dựa trên điểm CVSS, Adobe xác định các lỗ hổng có "mức độ nghiêm trọng cao".
Các khuyến nghị do ZDI đưa ra tiết lộ rằng các lỗ hổng có liên quan đến việc phân tích cú pháp các tập tin PCX và CDR.
Theo đó, kẻ tấn công sẽ gửi một tập tin không đúng định dạng cho người dùng được nhắm mục tiêu và thuyết phục họ mở tập tin bằng phiên bản Illustrator ảnh hưởng bởi lỗ hổng.
Ngoài kỹ thuật xã hội (social engineering), việc khai thác lỗ hổng cần phải bypass các cơ chế bảo vệ bộ nhớ trong Windows, chẳng hạn như DEP và ASLR.
Adobe đã chỉ định các lỗ hổng được xếp hạng ưu tiên là 3, điều này cho thấy rằng gã khổng lồ phần mềm không mong đợi chúng bị khai thác trong các cuộc tấn công độc hại.
Đây là đợt cập nhật Illustrator thứ 7 được Adobe công bố trong năm 2022. Gần như tất cả các bản cập nhật trước đó đều vá các lỗ hổng thực thi mã tùy ý quan trọng. Hơn 40 lỗ hổng đã được vá trong sản phẩm năm nay.
Nguồn: Securityweek
Chỉnh sửa lần cuối bởi người điều hành: