Adobe Systems đang tiến hành sửa lỗi trong phần mềm tăng tốc độ tải các sản phẩm, lỗi này cho phép tin tặc cài chương trình độc hại vào máy tính của nạn nhân.
Theo nhà nghiên cứu bảo mật Aviv Raff, Download Manager là một chương trình nhỏ mà Adobe dùng để tăng tốc độ cài đặt ban đầu của các sản phẩm của mình, chương trình này có thể bị lợi dụng để buộc các nạn nhân cài đặt phần mềm không mong muốn trên máy tính của họ.
Bởi vì có một lỗ hổng trong Download Manager, những kẻ tấn công có thể buộc chương trình tự động tải về và cài đặt bất kỳ tập tin thực thi nào mà chúng muốn, Raff đã viết trong một bài blog. Vì vậy, nếu bạn vào trang web của Adobe để cài đặt một bản cập nhật bảo mật cho Flash, bạn thực sự đã “mở cửa nhà mình” cho một cuộc tấn công zero-day.
Hôm thứ Năm, Adobe cho biết rằng họ đã làm việc với Raff và nhà phát triển bên thứ ba của sản phẩm Download Manager để khắc phục vấn đề này. Download Manager bao gồm một chương trình thực thi và một điều khiển ActiveX hoặc một tập tin mở rộng của Firefox, tùy thuộc vào trình duyệt được sử dụng.
Tuy nhiên, sẽ khó khăn cho người dùng khi không nhận ra và phải cài đặt những phần mềm không mong muốn, bởi vì họ phải chấp nhận một số bảng thông báo trước khi thực hiện quá trình cài đặt, ông Wiebke Lips, một phát ngôn viên của Adobe, cho biết trong một email.
Download Manager khác với Update Manger, chương trình được dùng để vá lỗi phần mềm Adobe. Download Manager chỉ chạy trên máy tính khi phần mềm được tải về, và nó tự gỡ bỏ vào lần khởi động kế tiếp. Vì vậy, cuộc tấn công của tin tặc sẽ chỉ làm việc trước khi quá trình khởi động lại gỡ bỏ phần mềm Download Manager.
Tuy nhiên, ông tin rằng đó là một lỗi bảo mật nghiêm trọng. "Đây là loại kịch bản phổ biến khi kẻ tấn công có tay nghề cao tiến hành sau khi chọn mục tiêu", Raff viết trên blog của mình.
Theo nhà nghiên cứu bảo mật Aviv Raff, Download Manager là một chương trình nhỏ mà Adobe dùng để tăng tốc độ cài đặt ban đầu của các sản phẩm của mình, chương trình này có thể bị lợi dụng để buộc các nạn nhân cài đặt phần mềm không mong muốn trên máy tính của họ.
Bởi vì có một lỗ hổng trong Download Manager, những kẻ tấn công có thể buộc chương trình tự động tải về và cài đặt bất kỳ tập tin thực thi nào mà chúng muốn, Raff đã viết trong một bài blog. Vì vậy, nếu bạn vào trang web của Adobe để cài đặt một bản cập nhật bảo mật cho Flash, bạn thực sự đã “mở cửa nhà mình” cho một cuộc tấn công zero-day.
Hôm thứ Năm, Adobe cho biết rằng họ đã làm việc với Raff và nhà phát triển bên thứ ba của sản phẩm Download Manager để khắc phục vấn đề này. Download Manager bao gồm một chương trình thực thi và một điều khiển ActiveX hoặc một tập tin mở rộng của Firefox, tùy thuộc vào trình duyệt được sử dụng.
Tuy nhiên, sẽ khó khăn cho người dùng khi không nhận ra và phải cài đặt những phần mềm không mong muốn, bởi vì họ phải chấp nhận một số bảng thông báo trước khi thực hiện quá trình cài đặt, ông Wiebke Lips, một phát ngôn viên của Adobe, cho biết trong một email.
Download Manager khác với Update Manger, chương trình được dùng để vá lỗi phần mềm Adobe. Download Manager chỉ chạy trên máy tính khi phần mềm được tải về, và nó tự gỡ bỏ vào lần khởi động kế tiếp. Vì vậy, cuộc tấn công của tin tặc sẽ chỉ làm việc trước khi quá trình khởi động lại gỡ bỏ phần mềm Download Manager.
Tuy nhiên, ông tin rằng đó là một lỗi bảo mật nghiêm trọng. "Đây là loại kịch bản phổ biến khi kẻ tấn công có tay nghề cao tiến hành sau khi chọn mục tiêu", Raff viết trên blog của mình.
Huy Thắng
Theo ComputerWorld, pcworld
Theo ComputerWorld, pcworld