Hôm 14/3/2011, Adobe xác nhận, những kẻ tấn công đang khai thác một lỗi chưa được vá trong Flash Player bằng cách sử dụng các tài liệu Microsoft Excel. Công ty sẽ vá Flash vào tuần tới và cũng sẽ cập nhật Adobe Reader (vì Reader bao gồm mã Flash khi nội dung Flash được chèn vào trong các file PDF).
Theo bản tư vấn bảo mật đưa ra hôm thứ Hai 14/3/2011, nhiều kẻ tấn công đang khai thác lỗ hổng này bằng cách nhúng các file Flash độc hại trong một tài liệu Microsoft Excel được gửi như file đính kèm e-mail.
Adobe nói họ không được biết về bất kỳ cuộc tấn công nào nhắm trực tiếp vào Reader (trình xem PDF phổ biến) hay Acrobat (trình tạo PDF thương mại).
"Lỗ hổng này có thể gây ra sự cố và tạo ra khả năng cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống bị ảnh hưởng," Adobe thừa nhận trong bản tư vấn của mình. Sau khi khai thác lỗ hổng Flash, tin tặc sẽ lây nhiễm cho các hệ thống với những phần mềm độc hại (malware) khác.
Adobe sẽ vá Flash, Reader và Acrobat vào tuần tới nhưng sẽ không cập nhật Reader X - phiên bản mới nhất của trình xem PDF bao gồm cơ cấu chống khai thác "sandbox" được thiết kế để cản trở hầu hết các cuộc tấn công. Sandbox của Reader X ngăn chặn các cuộc tấn công hiện tại và cũng sẽ ngăn chặn không cho cài đặt malware nếu tin tặc chuyển sang khai thác bằng các file PDF độc hại.
Adobe quyết định không cập nhật Reader X vào tuần tới vì không muốn trì hoãn việc phát hành các bản cập nhật Flash, Reader và Acrobat. Reader X sẽ nhận được bản vá trong lần cập nhật định kỳ theo lịch trình tiếp theo vào ngày 14/6/2011.
Theo PCWorld VN
Bình luận