CVE-2019-5050 - lỗi chức năng phân tích cú pháp PDF của Nitro Pro đã được các nhà nghiên cứu bảo mật tại Cisco Talos phát hiện và báo cáo, một bản vá lỗi tạm thời để ngăn chặn sự lạm dụng của lỗ hổng này sẽ được phát hành vào thứ 2.
Phiên bản hiện tại của phần mềm đọc file PDF Nitro Pro có ít nhất một lỗ hổng có thể bị lợi dụng để thực thi mã từ xa trên máy chủ nạn nhân. Và một bên thứ ba đang tiến hành sửa lỗi này.
Nitro PDF Pro cần được vá 7 lỗi RCE tiềm ẩn
- Download Nitro Pro
Bản vá chính thức từ nhà phát triển công cụ Nitro PDF Pro không có sẵn cho lỗi bảo mật này. Việc xâm nhập có thể được thực hiện thông qua một tệp PDF có cấu tạo đặc biệt và được mở bằng phiên bản phần mềm dễ bị tấn công.
Tập khách hàng chủ yếu của Nitro PDF là doanh nghiệp, trong đó có cả các công ty ở quy mô quốc gia hoặc toàn cầu. Họ sử dụng công cụ này để thay thế cho Adobe Acrobat Pro .
Vá lỗi tạm thời cho 7 lỗi tiềm ẩn
CVE-2019-5050 là một trong bộ 6 lỗ hổng được các nhà nghiên cứu tại Cisco Talos phát hiện trong Nitro PDF Pro 12.12.1.522 và tiết lộ đầu tuần trước. Nó thuộc về chức năng phân tích cú pháp PDF của phần mềm. Các nhà nghiên cứu tin rằng chỉ với một nỗ lực nhỏ, kẻ tấn công có thể chạy mã tùy ý trên hệ hống của người dùng hiện tại.
Mitja Kolsek, CEO của công ty Acros Security, công ty đứng sau nền tảng 0Patch cho biết vấn đề này cũng xuất hiện trong bản phát hành mới nhất của Nitro PDF Pro, 13.2.3.26, phát hành ngày 27/9.
Hôm thứ 6, Kolsek thông báo rằng đã có một bản vá để ngăn chặn sự lạm dụng của CVE-2019-5050. Ông cũng cho biết bản vá này sẽ được phát hành vào thứ 2 cho khách hàng sử dụng phiên bản Pro.
CVE-2019-5050 là lỗi bảo mật duy nhất được các nhà nghiên cứu Cisco Talos phát hiện và khẳng định đối với phiên bản mới nhất của Nitro PDF Pro. Nhưng Kolsek tỏ ra nghi ngờ về điều này. Và nếu nghi ngờ của ông là đúng thì sẽ phải có bản vá lỗi cho cả 6 lỗ hổng này.
Đây không phải là vấn đề duy nhất của Nitro PDF. Một lỗi tương tự đã được báo cáo với Acros Security và Nitro Software khoảng 2 năm trước; lỗi này không thể sửa được và vẫn ảnh hưởng đến phiên bản hiện tại.
Báo cáo lỗi bảo mật đã bị Spam
Cisco Talos lần đầu gửi báo cáo tới Nitro Software vào ngày 7/5 nhưng tận 3 tháng sau, ngày 7/8 ông mới nhận được câu trả lời.
Nitro Software đã giữ im lặng bằng cách nói rằng những email trước đã bị spam. Báo cáo lỗi mà Acros Security nhận được 2 năm trước cũng như vậy, mặc dù đây là một sai sót đáng kể của nhà sản xuất.
Theo chính sách của Cisco, nhà cung cấp có 90 ngày để khắc phục sự cố, Sau đó, nếu nhà cung cấp không thể giảm thiểu rủi ro hoặc không phản hồi, sự cố sẽ bị công khai.
Nitro Software đã nhận được báo cáo từ Cisco Talos và thông báo sự cố sẽ được giải quyết trong bản phát hành lần tới. Tuy nhiên, họ không đưa ra mốc thời gian cụ thể. Khi Nitro PDF Pro có bản vá chính thức, đây sẽ là bản cập nhật bảo mật mới nhất trong gần hai năm qua.
Nếu như Nitro thực hiện bản vá lỗi khá muộn màng thì ông lớn Google lại quyết liệt và mạnh mẽ hơn nhiều trong cuộc chiến bảo vệ người dùng. Cụ thể hơn, Google gỡ các ứng dụng cho vay lãi suất cao khỏi Play Store của mình.
https://thuthuat.taimienphi.vn/nitro-pdf-pro-can-duoc-va-7-loi-rce-tiem-an-53641n.aspx
Đừng quên truy cập Taimienphi.vn thường xuyên để cập nhật soft và các thủ thuật máy tính mới nhất nhé.