• Thứ Hai, 14/04/2008 11:10 (GMT+7)

    Adobe vá 7 lỗ hổng cho Flash Player

    Việc khai thác các lỗ hổng trong phần mềm Flash ngày càng trở nên phổ biến với giới hacker.

    Adobe đã nâng cấp Flash Player để vá 7 lỗ hổng trong phần mềm đồ hoạ và video được sử dụng rộng rãi cho các trang web tương tác và băng rôn quảng cáo động này.
     
    Adobe đánh giá những miếng vá này là “nghiêm trọng” và khuyên người dùng nâng cấp lên phiên bản mới nhất 9.0.124.0. Tất cả các lỗ hổng trên đều có thể cho phép hacker cài mã độc lên máy tính nạn nhân.

    Một trong số những lỗ hổng này đã giúp anh Shane Macaulay (nhà nghiên cứu của công ty tư vấn Security Objectives) thắng được chiếc máy tính xách tay của cuộc thi hack PWN 2 OWN tổ chức tại hội nghị CanSecWest ở Vancouver (Canađa) hồi tháng 3/2008. Anh Macaulay đã sử dụng lỗi trong Flash để đột nhập vào chiếc máy tính đang chạy Vista. Sau đó anh còn phát biểu rằng, 90% số máy tính trên toàn thế giới đều có lỗ hổng.

    Việc khai thác các lỗ hổng trong phần mềm Flash để tấn công máy tính ngày càng trở thành một xu hướng phổ biến của giới hacker bởi hai lý do: phần lớn các trình duyệt web đều cài Flash Player, và những quảng cáo chứa mã độc có thể khai thác những lỗi này. 

    Các miếng vá mới nhất chỉ tập trung vào Flash Player, trong đó có 1 miếng vá bổ sung tính năng “kiểm tra chính sách chéo miền” (cross-domain policy check) cho phần mềm. Flash Player dùng các file chính sách, cho phép phần mềm này sử dụng nội dung từ các tên miền (domain) khác. Theo kỹ sư Deneb Meketa của Adobe, tính năng này giúp Flash Player trở nên đa năng hơn. Nhưng hacker cũng có thể tự xây dựng file chính sách, và nếu file này được máy chủ chấp nhận, hacker có thể viết một file ".swf" và nạp các dữ liệu khác từ tên miền bên ngoài máy chủ, từ đó có thể gây ra vấn đề về bảo mật.
     

    Bạch Đình Vinh
    Theo IDG News Service, 9/4/2008

    ID: O0804_1