Bản cập nhật bảo mật Patch Tuesday tháng 7/2018 giải quyết các lỗ hổng ảnh hưởng đến Adobe Flash Player, Adobe Experience Manager, Adobe Connect, Adobe Acrobat, và Adobe Reader.
Adobe phát hành bản cập nhật bảo mật Patch Tuesday tháng 7/2018
Adobe Flash Player (cho máy tính và trình duyệt)
Bản cập nhật bao gồm các bản vá 2 lỗ hổng trong Adobe Flash Player trên các nền tảng và trình duyệt.
Một trong số 2 lỗ hổng được đánh giá là nghiêm trọng (CVE-2018-5007), nếu khai thác thành công lỗ hổng "type confusion" này, kẻ tấn công có thể thực thi mã tùy ý trên hệ thống được nhắm mục tiêu trong ngữ cảnh người dùng hiện tại. Lỗ hổng được willJ của Tencent PC Manager phát hiện và báo cáo lại cho Adobe.
Không có bất kỳ chi tiết kỹ thuật nào của 2 lỗ hổng được tiết lộ. Adobe cho biết lỗ hổng thứ 2 cũng được đánh giá là nghiêm trọng, có thể cho phép kẻ tấn công truy cập thông tin nhạy cảm của nạn nhân.
- Các phiên bản bị ảnh hưởng: Flash Player v30.0.0.113 và các phiên bản trước đó.
- Các nền tảng và trình duyệt bị ảnh hưởng: Windows, macOS, Linux, Chrome OS, Google Chrome, Microsoft IE 11 và Microsoft Edge.
Nếu bạn cài Flash Player không thành công trên máy tính của mình, bạn tham khảo cách sửa lỗi không cài được Flash Player tại đây.
Adobe Acrobat and Reader (cho Windows và macOS)
Adobe vá tổng cộng 104 lỗ hổng bảo mật trong Adobe Acrobat và Reader, trong đó 51 lỗ hổng được đánh giá là nghiêm trọng.
Bản cập nhật giải quyết các lỗ hổng heap overflow, use-after-free, out-of-bounds write, type confusion, untrusted pointer dereference và lỗi tràn bộ đệm, cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống nạn nhân trong ngữ cảnh người dùng hiện tại.
Các lỗ hổng trên được báo cáo bởi nhiều nhà nghiên cứu bảo mật của nhiều hãng bảo mật khác nhau, bao gồm Palo Alto Networks, Trend Micro Zero Day Initiative, Tencent, Qihoo 360, CheckPoint, Cisco Talos, Kaspersky Lab, Xuanwu Lab và Vulcan Team.
- Các phiên bản bị ảnh hưởng:
+ Continuous Track - 2018.011.20040 và các phiên bản trước.
+ Classic 2017 Track - 2017.011.30080 và các phiên bản trước.
+ Classic 2015 Track - 2015.006.30418 và các phiên bản trước.
- Nền tảng bị ảnh hưởng: Windows và macOS.
Adobe Experience Manager (cho tất cả nền tảng)
Bản cập nhật giải quyết 3 lỗ hổng Server-Side Request Forgery (SSRF) quan trọng phơi nhiễm các thông tin nhạy cảm của nạn nhân.
2 trong số các lỗ hổng bảo mật này vulnerabilities (CVE-2018-5006, CVE-2018-12809) được phát hiện bởi nhà nghiên cứu ứng dụng bảo mật người Nga, Mikhail Egorov.
- Các phiên bản ảnh hưởng: Adobe Experience Manager v6.4, 6.3, 6.2, 6.1 và phiên bản 6.0
Các lỗ hổng được phát hiện trong Adobe Experience Manager ảnh hưởng đến tất cả các nền tảng, người dùng được khuyến cáo cập nhật các phiên bản mới nhất càng sớm càng tốt.
Adobe Connect (tất cả các nền tảng)
Adobe vá 3 lỗ hổng bảo mật trong Adobe Connect, trong đó 2 lỗ hổng được đánh giá là lỗ hổng quan trọng, có thể cho phép kẻ tấn công bỏ qua xác thực, chiếm đoạt các phiên duyệt web và đánh cắp các thông tin nhạy cảm. Lỗ hổng thứ 3 được đánh giá là ít nghiêm trọng hơn.
- Phiên bản ảnh hưởng: Adobe Connect v9.7.5 và các phiên bản trước đó cho tất cả các nền tảng.
Cuối cùng Adobe khuyến cáo người dùng và các Admin cài đặt các bản cập nhật bảo mật càng sớm càng tốt để ngăn chặn các cuộc tấn công có thể xảy ra.
Chế độ ẩn danh (Incognito) sẽ giúp cho người dùng sử dụng ứng dụng mà không bị lưu lại dữ liệu của phiên làm việc đó. Sau một thời gian dài thử nghiệm tính năng này, YouTube cho Android có thêm chế độ ẩn danh sẽ là một tin vui đối với những người thường xuyên sử dụng YouTube trên thiết bị di động.