Một lỗ hổng bảo mật zero-day đã được phát hiện trong phần mềm Adobe lllustrator có thể cho phép tin tặc thực thi những đoạn mã độc trên hệ thống của người sử dụng. Quản lí chương trình của Adobe, ông David Lenoe, hôm thứ năm tuần trước đã xác nhận rằng họ đã biết đến đến vấn đề này và đang cho xác minh lại.

Lenoe viết trên blog: “Chúng tôi đang điều tra vấn đề này và sẽ cập nhật khi có thêm thông tin mới”. Ông cho biết lỗi xảy ra khi mở tập tin .eps bằng Illustrator, điều này phần nào hạn chế được mức độ nghiêm trọng. Cho đến hôm nay (7/12), Adobe chưa cập nhật thông tin gì mới về lỗ hổng này.

Điều đáng lo là đoạn mã khai thác lỗ hổng này đã được đăng lên website Altervista của giới tin tặc.

Công ty bảo mật Secunia đã xác nhận rằng lỗ hổng ảnh hưởng đến Adobe Illustrator CS3 và CS4, và họ tin rằng những phiên bản khác cũng có thể bị ảnh hưởng.

Secunia cho biết: Nguyên nhân gây ra lỗ hổng này là do một lỗi việc phân tích tập tin .eps, có thể bị khai thác để sửa đổi bộ nhớ. Khi tin tặc khai thác lỗ hổng thành công, họ có thể thực thi bất cứ mã độc nào trên máy tính người dùng.

Ngày mai Adobe sẽ cho ra các bản vá lỗ hổng nghiêm trọng của Flash và AIR. Những bản vá này hoàn toàn không liên quan đến lỗ hổng của Illustrator trong bài này.

Nguyễn Phi Vũ (theo ZDnet).