|
|
Adobe xác nhận Flash sử dụng ATL lỗi |
|
|
| Lượt xem: 1637 lần |
| Tác giả: Chưa rõ |
| Đánh giá: 27 điểm / 11 lần |
Xếp hạng:  |
| Gởi ngày: 29 07, 2009 |
| Bài viết mã số: 557 |
| Tựa đề: Adobe xác nhận Flash sử dụng ATL lỗi |
| Trong chủ đề: Tin Tức Bảo Mật |
| Thông tin thảo luận: 0 |
 Trang in  Gởi bạn bè |
Mời bạn đánh giá bài viết này:
|
|
| Nội dung Adobe xác nhận Flash sử dụng ATL lỗi
Hôm qua, Adobe đã thừa nhận là nhà cung cấp chương trình nhóm ba đầu tiên sử dụng thư viện code bị lỗi của Microsoft trong những sản phẩm của họ.
Theo một số bài viết về bảo mật đăng trên website của Adobe hôm thứ 3, nhiều phiên bản Windows sử dụng Flash Player và Shockwave Player của Adobe chứa nhiều lỗ hổng vì Adobe đã sử dụng thư viện code có quá nhiều lỗi của Microsoft trong quá trình phát triển.
Cũng không có gì ngạc nhiên khi Flash Player lại dễ bị tấn công. Ba tuần trước, hai nhà nghiên cứu người Đức đã thông báo rằng họ phát hiện nhiều ứng dụng nhóm ba chứa thư viện code trên, và chỉ đích danh Flash như một ví dụ điển hình.
Hôm qua Adobe đã vá Shockwave và ngày mai họ sẽ tung ra bản cập nhật dự định trước đó dành cho ứng dụng Flash Player đang được sử dụng phổ biến.
Trên blog của Adobe, bà Wendy Poland, thành viên nhóm bảo mật của công ty này, cho biết “Chúng tôi đã đánh giá tác động của những phiên Active Template Library (ATL) có nhiều lỗi của Microsoft đối với những sản phẩm của Adobe, và khẳng định rằng Flash Player và Shockwave Player là hai sản phẩm sử dụng những phiên bản lỗi đó.”
Hôm thứ 3 Microsoft cũng xác nhận ATL (thư viện code của Visual Studio) chứa rất nhiều lỗi, ít nhất một lỗi trong số đó đã xuất hiện từ năm ngoái. Mặc dù Microsoft đã vá Visual Studio để loại bỏ nhiều lỗi trong ATL nhưng những bản vá này không tự động vá những phần mềm sử dụng thư viện này. Thay vào đó nhiều nhà cung cấp (bao gồm cả Microsoft) phải sử dụng chương trình Visual Studio đã được vá để kiểm tra lại code, sau đó mới tung ra chương trình mới bảo mật hơn.
Đó là những gì mà Adobe cũng đã thực hiện trên Shockwave vào hôm qua. Trong một bản báo cáo bảo mật công bố ngày hôm qua, Adobe cho biết họ đã cập nhật Shockwave Player lên phiên bản 11.5.1.601, và nhấn mạnh rằng bản vá đã vá một lỗ hổng nguy hiểm mà tin tặc có thể khai thác để chiếm quyền điều khiển PC sử dụng hệ điều hành Windows.
Adobe cam kết sẽ vá Flash Player vào ngày hôm nay. Trong một bài viết đăng trên blog của công ty ngày hôm qua, Adobe cho biết “Hai phiên bản Adobe Flash Player 9.0.159.0, 10.0.22.87 và các phiên bản 9.x , 10.x trước đó được cài đặt trên hệ điều hành Windows để sử dụng cùng với IE đã sử dụng phiên bản lỗi của của ATL. Chúng tôi đang phát triển bản vá cho lỗ hổng này, và hi vọng một bản cập nhật cho phiên bản Flash Player V9 và V10 dành cho Windows sẽ được tung ra vào ngày 30 tháng này.”
Tuần trước, Adobe cũng đã cam kết vá Flash Player vào ngày hôm nay để loại bỏ một lỗ hổng khác đã bị nhiều tin tặc khai thác. Theo Secunia, hãng theo dõi lỗ hổng bảo mật của Đan Mạch, hơn 92% người dùng Windows rất dễ bị tác động bởi những cuộc tấn công thông qua Flash Player hiện nay.
Bà Poland nói rằng một số phần mềm khác của Adobe, bao gồm PDF Reader (cũng sẽ được cập nhật để vá lỗ hổng tương tự đã dẫn tới những cuộc tấn công quy mô lớn) không chứa thư viện lỗi ATL. Ứng dụng Adobe Reader được nhúng trên IE là một thư viện ATL không có lỗi, và dù nhiều lỗ hổng đã được vá trong trình duyệt nhúng Flash Player thì những người dùng IE vẫn có thể bị tấn công. Bà cho biết “Những người dùng Flash Player được nhúng trên trình duyệt Firefox cũng như những phiên bản trình duyệt của Windows khác (ngoại trừ IE) đều được bảo mật.”
Một trong ba lỗi của ATL là do một lỗi lập trình đơn giản. Theo Microsoft và nhiều nhà nghiên cứu khác, một tính năng của ATL có tên ATL::CComVariant::ReadFromStream bị thừa một kí tự &.
Cho đến khi một bản vá chính thức cho Flash được tung ra, Adobe khuyên người dùng cài đặt bản cập nhật MS09-034 của Microsoft được giới thiệu vào hôm thứ 3 trong bản cập nhật định kỳ dành cho Windows. Trong bản cập nhật đó, những bản vá cho IE được cho là những biện pháp phòng vệ mới có thể phát hiện và chặn ActiveX Control (giống như Flash Player và Shockwave, ActiveX Control cũng sử dụng thư viện ATL chứa rất nhiều lỗi).
Adobe sẽ đăng liên kết tới bản Flash Player đã được vá trên trang bảo mật của công ty.
Source Adobe xác nhận Flash sử dụng ATL lỗi: ThongTinBaoMat.Com,quantrimang.com.vnAdobe xác nhận Flash sử dụng ATL lỗi Tags
Adobe xác nhận Flash sử dụng ATL lỗi Những bài viết tương tự Adobe xác nhận Flash sử dụng ATL lỗi:
A4Desk Flash Photo Gallery Builder 2.27 | Cài đặt Windows XP từ ổ USB Flash | Adobe Illustrator CS4 | Malware mới nhắm vào Windows 64-bit | Cập nhật Adobe Reader chống lỗi zero-day | Cập nhật thủ công Virus Definitions cho máy Mac | Cập nhật ngay Windows và FireFox chống hack | Adobe Reader mắc lỗi cực kỳ nguy hiểm | 4 phần mềm diệt virus miễn phí tốt nhất cho Windows | FireFox và Chrome cập nhật để ngăn chứng thư giả | | Những bài viết mới hơn trong Tin Tức Bảo Mật | - Nhiều hãng bảo mật “thi trượt” trên Vista ( 05 08, 2009 )
- Mozilla vá Firefox 3.0 và 3.5 ( 03 08, 2009 )
- Máy tính có thể bị tấn công qua sóng wi-fi ( 03 08, 2009 )
- Vụ hack MI5 là cảnh báo cho mọi chủ website ( 03 08, 2009 )
- Chuyên giả bảo mật cảnh báo lỗ hổng SMS ( 31 07, 2009 )
- Tin tặc tấn công các mạng xã hội ( 30 07, 2009 )
- Dữ liệu kém an toàn hơn khi truyền qua cáp quang ( 30 07, 2009 )
- Top 10 đe dọa bảo mật năm 2011 ( 30 07, 2009 )
- Tin tặc đang khai thác trình duyệt web châu Á ( 30 07, 2009 )
- Khóa kích hoạt Windows 7 rơi vào tay hacker ( 29 07, 2009 )
|
| Những bài viết cũ hơn trong Tin Tức Bảo Mật | - Lừa đảo qua ĐTDĐ và nhiều virus mới xuất hiện tại Việt Nam ( 29 07, 2009 )
- Tìm kiếm địa chỉ IP công cộng với câu lệnh Linux ( 27 07, 2009 )
- Microsoft tung ra bản vá khẩn cấp cho IE ( 27 07, 2009 )
- Microsoft không thể vá lỗ hổng trong Office ( 24 07, 2009 )
- Firefox 3.0 được sửa 10 lỗi “chết người” ( 23 07, 2009 )
- Bảo mật thông tin cá nhân tại Việt Nam như 'nhà không khóa' ( 22 07, 2009 )
- Mang 4 triệu thông tin cá nhân "tuyên chiến" hacker ( 21 07, 2009 )
- Adobe “phân phát” lỗ hổng bảo mật cho người dùng ( 21 07, 2009 )
- Firefox 3.5: “Vá” chỗ này, “thủng” chỗ khác ( 21 07, 2009 )
- Không thể khai thác lỗ hổng Firefox 3.5.1 ( 20 07, 2009 )
|
|
|
|
