Secunia
nói rằng Adobe vẫn cho tải về bản Reader 9.1, và người dùng đã bị đẩy
vào mối đe dọa bị tin tặc tấn công bằng cách sử dụng những tài liệu PDF
độc hại để chiếm quyền điều khiển PC.
Hôm nay, một công ty bảo mật cảnh báo Adobe đã cho phép người dùng tải một phiên bản Reader quá hạn từ website của họ.
Phiên bản Adobe này hiện có ít nhất 14 lỗ hổng bảo mật đã được công ty này vá vào 2 tháng trước.
Secunia, công ty chuyên theo dõi lỗ hổng của Đan Mạch, cảnh báo rằng
Adobe đang cho phép tải một bản Reader quá hạn khi những người dùng sử
dụng tiện ích Personal Software Inspector (PSI) để kiểm tra những
chương trình chưa được vá trên PC sử dụng hệ điều hành Windows bắt đầu
phàn nàn rằng công cụ này thông báo họ đang sử dụng một phiên bản không
bảo mật cho dù họ đã tải về PDF Viewer.
Mikkel Winther, giám đốc chương trình đối tác PSI, cho biết
“Adobe
Reader còn tồn tại nhiều lỗi. Dù người dùng đã tải phiên bản Reader mới
nhất nhưng PSI vẫn khẳng định rằng phiên bản đó cũng không bảo mật.”
Ban đầu Secunia hoài nghi rằng PSI đang bác bỏ một “lỗi rõ ràng”, nhưng không phải như vậy. Winther nói rằng
“Adobe.com vẫn tung ra phần mềm này dù biết có nhiều lỗ hổng bảo mật.”
Winther cho biết phiên bản hiện đang được đăng trên website của Adobe
là Reader 9.1, được tung ra vào ngày 10/3 để và một số lỗi, bao gồm một
lỗi tin tặc đã lợi dụng để tấn công từ ngày 9/1/2009.
Từ thời điểm đó đến nay Adobe đã tung ra 2 bản cập nhật bảo mật. Bản
đầu tiên được tung ra vào ngày 12/5 để vá lỗi “zero-day” của Reader.
Trong khi đó, bản thứ 2 được cho ra để vá ít nhất 13 lỗ hổng bảo mật
quan trọng do những nhà nghiên cứu của những công ty khác phát hiện, và
bí mật sửa một số lỗi do chính đội bảo mật của Adobe tìm ra.
Adobe cho rằng điều này là hoàn toàn bình thường. Phát ngôn viên của công ty cho biết
“Adobe
Reader 9.1 dành cho Windows là phiên bản đầy đủ nhất và mới nhất, còn
Adobe Reader 9.1.1 và 9.1.2 là những bản vá cho phiên bản 9.1. Đó là lý
do người dùng được yêu cầu tải Adobe Reader 9.1 trên trang Get Adobe Reader của website Adobe.com.”
Winther nói rằng
“Adobe đã cho ra Adobe Updater mà rốt
cuộc cập nhật Reader thành những phiên bản ‘được vá’, tuy nhiên, việc
cập nhật đôi khi tiền hành trong vài ngày có khi vài tuần.” Theo mặc định, Adobe Updater Ping của công ty này chỉ hoạt động một lần trong tuần.
Winther nói những hành động của Adobe đã đẩy người dùng vào mối đe dọa
bị tin tặc tấn công bằng cách sử dụng những tài liệu PDF độc hại để
chiếm quyền điều khiển PC. Nếu người dùng nhận được một tài liêu PDF
dưới dạng đính kèm trong một email nhưng PC lại chưa cài đặt Reader, họ
có thể sẽ tải và cài đặt phiên bản Reader 9.1 từ website của công ty.
Hậu quả là họ vô tình mở đường cho tin tặc tấn công.
“Người dùng PC cần vá mọi lỗ hổng bảo mật của các chương trình, và
phải thực hiện vá ngay sau khi nhà cung cấp phát hành bản vá. Nếu không
thực hiện vá, thì việc hệ thống bị tấn công chỉ là vấn đề về thời gian
và may mắn.”
Winther khuyên những người dùng mới tải và cài đặt Reader tự tiến hành cập nhật bằng cách lựa chọn
Check for Updates trong menu Help, hoặc có thể tải và cài đặt công cụ
Secunia’s PSI để xác định những phần mềm quá hạn.