Hôm qua, Adobe đã thừa nhận là nhà cung cấp chương trình
nhóm ba đầu tiên sử dụng thư viện code bị lỗi của Microsoft trong những
sản phẩm của họ.
Theo một số bài viết về bảo mật đăng trên website của Adobe hôm thứ 3,
nhiều phiên bản Windows sử dụng Flash Player và Shockwave Player của
Adobe chứa nhiều lỗ hổng vì Adobe đã sử dụng thư viện code có quá nhiều
lỗi của Microsoft trong quá trình phát triển.
Cũng
không có gì ngạc nhiên khi Flash Player lại dễ bị tấn công. Ba tuần
trước, hai nhà nghiên cứu người Đức đã thông báo rằng họ phát hiện
nhiều ứng dụng nhóm ba chứa thư viện code trên, và chỉ đích danh Flash
như một ví dụ điển hình.
Hôm qua Adobe đã vá Shockwave và ngày mai họ sẽ tung ra bản cập nhật dự
định trước đó dành cho ứng dụng Flash Player đang được sử dụng phổ biến.
Trên blog của Adobe, bà Wendy Poland, thành viên nhóm bảo mật của công ty này, cho biết
“Chúng
tôi đã đánh giá tác động của những phiên Active Template Library (ATL)
có nhiều lỗi của Microsoft đối với những sản phẩm của Adobe, và khẳng
định rằng Flash Player và Shockwave Player là hai sản phẩm sử dụng
những phiên bản lỗi đó.”
Hôm thứ 3 Microsoft cũng xác nhận ATL (thư viện code của Visual Studio)
chứa rất nhiều lỗi, ít nhất một lỗi trong số đó đã xuất hiện từ năm
ngoái. Mặc dù Microsoft đã vá Visual Studio để loại bỏ nhiều lỗi trong
ATL nhưng những bản vá này không tự động vá những phần mềm sử dụng thư
viện này. Thay vào đó nhiều nhà cung cấp (bao gồm cả Microsoft) phải sử
dụng chương trình Visual Studio đã được vá để kiểm tra lại code, sau đó
mới tung ra chương trình mới bảo mật hơn.
Đó là những gì mà Adobe cũng đã thực hiện trên Shockwave vào hôm qua.
Trong một bản báo cáo bảo mật công bố ngày hôm qua, Adobe cho biết họ
đã cập nhật Shockwave Player lên phiên bản 11.5.1.601, và nhấn mạnh
rằng bản vá đã vá một lỗ hổng nguy hiểm mà tin tặc có thể khai thác để
chiếm quyền điều khiển PC sử dụng hệ điều hành Windows.
Adobe cam kết sẽ vá Flash Player vào ngày hôm nay. Trong một bài viết đăng trên blog của công ty ngày hôm qua, Adobe cho biết
“Hai
phiên bản Adobe Flash Player 9.0.159.0, 10.0.22.87 và các phiên bản 9.x
, 10.x trước đó được cài đặt trên hệ điều hành Windows để sử dụng cùng
với IE đã sử dụng phiên bản lỗi của của ATL. Chúng tôi đang phát triển
bản vá cho lỗ hổng này, và hi vọng một bản cập nhật cho phiên bản Flash
Player V9 và V10 dành cho Windows sẽ được tung ra vào ngày 30 tháng
này.”
Tuần trước, Adobe cũng đã cam kết vá Flash Player vào ngày hôm nay để
loại bỏ một lỗ hổng khác đã bị nhiều tin tặc khai thác. Theo Secunia,
hãng theo dõi lỗ hổng bảo mật của Đan Mạch, hơn 92% người dùng Windows
rất dễ bị tác động bởi những cuộc tấn công thông qua Flash Player hiện
nay.
Bà Poland nói rằng một số phần mềm khác của Adobe, bao gồm PDF Reader
(cũng sẽ được cập nhật để vá lỗ hổng tương tự đã dẫn tới những cuộc tấn
công quy mô lớn) không chứa thư viện lỗi ATL. Ứng dụng Adobe Reader
được nhúng trên IE là một thư viện ATL không có lỗi, và dù nhiều lỗ
hổng đã được vá trong trình duyệt nhúng Flash Player thì những người
dùng IE vẫn có thể bị tấn công. Bà cho biết
“Những
người dùng Flash Player được nhúng trên trình duyệt Firefox cũng như
những phiên bản trình duyệt của Windows khác (ngoại trừ IE) đều được
bảo mật.”
Một trong ba lỗi của ATL là do một lỗi lập trình đơn giản. Theo
Microsoft và nhiều nhà nghiên cứu khác, một tính năng của ATL có tên
ATL::CComVariant::ReadFromStream bị thừa một kí tự
&.
Cho đến khi một bản vá chính thức cho Flash được tung ra, Adobe khuyên người dùng cài đặt bản cập nhật
MS09-034
của Microsoft được giới thiệu vào hôm thứ 3 trong bản cập nhật định kỳ
dành cho Windows. Trong bản cập nhật đó, những bản vá cho IE được cho
là những biện pháp phòng vệ mới có thể phát hiện và chặn ActiveX
Control (giống như Flash Player và Shockwave, ActiveX Control cũng sử
dụng thư viện ATL chứa rất nhiều lỗi).
Adobe sẽ đăng liên kết tới bản Flash Player đã được vá trên trang bảo mật của công ty.