Nội dung
Adobe mới đây đã tung ra bản cập nhật bảo mật ngày thứ Ba cho Tháng 7/2019. Số lượng các lỗ hổng được vá trong lần này ít hơn tương đối so với những lần trước đó.
Ngoài ra, các bản cập nhật trong tháng này không tập trungvào các sản phẩm Adobe phổ biến như Flash Player hoặc Reader mà chủ yếu nhắm vàoAdobe Experience Manager, Adobe Bridge CC và Dreamweaver. Dưới đây là bản tóm tắtnhanh về bản vá bảo mật tháng 7 của Adobe.
Nhiều lỗ hổng được vá trong Adobe Experience Manager
Với các bản cập nhật tháng 7, Adobe đã vá ba lỗ hổng khácnhau trong Adobe Experience Manager (Trình quản lý trải nghiệm Adobe), baogồm hai lỗ hổng “Quan trọng” và một lỗ hổng đơn mức độ nghiêm trọng trung bình.
Trong tư vấn bảo mật được đưa ra, Adobe cho biết khi các lỗhổng kể trên bị khai thác có thể dẫn đến tình trạng các thông tin nhạy cảm bịtiết lộ.
Hai lỗ hổng bảo mật “Quan trọng” được đề cập bao gồm lỗ hổngyêu cầu giả mạo chéo trang (cross-site request forgery – CVE-2019-7953)và kịch bản lưu trữ chéo trang (stored cross-site scripting – CVE-2019-7954).
Các lỗ hổng mức độ nghiêm trọng vừa phải bao gồm lỗ hổng phảnxạ kịch bản chéo trang (reflected cross-site scripting – CVE-2019-7955).Nhà nghiên cứu Lorenzo Porondini đã báo cáo chi tiết lỗ hổng này cho Adobe.
Các phiên bản Adobe Experience Manager bị ảnh hưởng bởi cáclỗ hổng này bao gồm 6.0, 6.1, 6.2, 6.3 và 6.4. Adobe đã vá tất cả các lỗ hổngnày trong các phiên bản AEM tương ứng 6.3, 6.4 và 6.5.
Các sửa lỗi bảo mật khác trong bản vá tháng 7 của Adobe
Ngoài các cập nhật sửa lỗi trong Adobe Experience Manager, bảnvá bảo mật tháng 7 của Adobe cũng giải quyết một số lỗi đơn lẻ trong Adobe BridgeCC và Adobe Dreamweaver.
Lỗ hổng trong Adobe Bridge CC
Liên quan đến Adobe Bridge CC, phía công ty đã cung cấp bản vácho một lỗ hổng đọc ngoại vi quan trọng (out-of-bounds read – CVE-2019-7963)có thể dẫn đến việc tiết lộ thông tin người dùng.
Như được nêu trong tư vấn bảo mật của Adobe, đây là một lỗ hổng bảo mật xảy ra khi phân tích hình ảnh SVG không đúng định dạng. Điều này có thể gây ra lỗi đọc ngoại vi dẫn đến tình trạng tiết lộ thông tin (địa chỉ bộ nhớ) trong bối cảnh của người dùng hiện tại.
Lỗ hổng này đặc biệt ảnh hưởng đến Adobe Bridge CC phiên bản9.0.2 trở về trước.
Adobe đã cung cấp bản sửa lỗi cho lỗ hổng này trong phiên bảnAdobe CC 9.1. Phía công ty cũng cho biết đã nhận được báo cáo thông tin về lỗ hổngtừ nhà nghiên cứu Francis Provencher, một thành viên của nhóm Sáng kiến ZeroDay của Trend Micro.
Lỗ hổng trong Adobe Dreamweaver
Trong khi đó, lỗ hổng trong Adobe Dreamweaver là một lỗi quantrọng liên quan tới tải thư viện không an toàn (DLL hijacking) ảnh hưởngđến các phiên bản cài đặt tải xuống Adobe Dreamweaverdirect cả các phiên bản trướcđó lẫn 19.0 và 18.0.
Lỗ hổng quan trọng này mang số hiệu CVE-2019-7956 có thể dẫn đến tìnhtrạng leo thang đặc quyền khi bị khai thác.
Adobe đã sửa lỗi này với việc phát hành AdobeDreamweaverdirect cài đặt tải xuống phiên bản 2019 và 2018. Bên cạnh đó, Adobecũng cảm ơn nhà nghiên cứu Honc trong tư vấn bảo mật của công ty vì đã báo cáo sớmvấn đề cho họ.
Người dùng của các sản phẩm Adobe tương ứng được khuyến nghị nên cập nhật lên các phiên bản mới nhất càng sớm càng tốt để tránh khỏi các nguy cơ tiềm tàng đến từ các lỗ hổng đang tồn tại.
Bản cập nhật bảo mật tháng này của Adobe được đánh giá là không chứa bản vá lỗi cho bất cứ lỗ hổng bảo mật “sống còn” nào, không giống như các bản cập nhật được phát hành vào tháng 5 và tháng 6 trước đó.
LHN