• Thứ Năm, 11/01/2007 07:08 (GMT+7)

    Adobe đưa ra các miếng vá cho “lỗ hổng” Reader

    Tuần thứ hai của tháng 1/2007 Adobe Systems sẽ đưa ra các miếng vá cho nhiều phiên bản cũ của phần mềm Reader, Acrobat Reader của mình. Lỗ hổng nguy hiểm trong những phiên bản này có thể được dùng cho các vụ tấn công lừa đảo hoặc truy cập file trên một máy tính từ xa.

    Vấn đề ảnh hưởng tới các phiên bản phần mềm Reader, Acrobat từ 7.0.8 trở về trước. Adobe khuyến nghị người dùng những phiên bản này nên vô hiệu hóa  plug-in Acrobat và Reader trong trình duyệt web của mình cho tới khi các miếng vá được đưa ra. Adobe còn khuyên khách hàng của mình nên nâng cấp lên phiên bản mới nhất Reader 8 (là phiên bản không bị ảnh hưởng bởi lỗ hổng).

    Lỗ hổng “kịch bản chéo trang” (cross-site scripting) này có thể cho phép một kẻ tấn công chạy mã JavaScript bất kì trên máy đích bằng việc liên kết với một file PDF trên máy. Ví dụ trong vụ tấn công lừa đảo, hacker có thể thêm mã JavaScript vào URL (uniform resource locator) liên kết với tài liệu PDF trên một website. Nếu liên kết đó bị mở ra, mã JavaScript sẽ chạy và tạo ra form nhập thông tin mật khẩu vào website của ngân hàng rồi truyền thông tin đó về cho hacker. Vì vậy, Adobe cảnh báo người dùng nên thận trọng khi click chuột vào các liên kết đáng nghi.

    Hôm 4/1/2007 nhà sản xuất bảo mật Websense Inc. cho biết, kẻ tấn công có thể truy cập file trên máy đích từ xa.

    Theo Symantec, lỗ hổng ảnh hưởng tới trình duyệt web Firefox hoặc trình duyệt Internet Explorer 6 (IE6) và Adobe Reader 7 chạy trên Windows XP Service Pack 1; hoặc IE6 và Adobe Reader 4 chạy trên Windows XP Service Pack 2.

    IDG News Service, 5/1/2007

    ID: O0701_1