Nitro PDF Pro cần được vá 7 lỗi RCE tiềm ẩn

CVE-2019-5050 - lỗi chức năng phân tích cú pháp PDF của Nitro Pro đã được các nhà nghiên cứu bảo mật tại Cisco Talos phát hiện và báo cáo, một bản vá lỗi tạm thời để ngăn chặn sự lạm dụng của lỗ hổng này sẽ được phát hành vào thứ 2.

Phiên bản hiện tại của phần mềm đọc file PDF Nitro Pro có ít nhất một lỗ hổng có thể bị lợi dụng để thực thi mã từ xa trên máy chủ nạn nhân. Và một bên thứ ba đang tiến hành sửa lỗi này.

nitro pdf pro can duoc va 7 loi rce tiem an

Nitro PDF Pro cần được vá 7 lỗi RCE tiềm ẩn

- Download Nitro Pro

Bản vá chính thức từ nhà phát triển công cụ Nitro PDF Pro không có sẵn cho lỗi bảo mật này. Việc xâm nhập có thể được thực hiện thông qua một tệp PDF có cấu tạo đặc biệt và được mở bằng phiên bản phần mềm dễ bị tấn công.

Tập khách hàng chủ yếu của Nitro PDF là doanh nghiệp, trong đó có cả các công ty ở quy mô quốc gia hoặc toàn cầu. Họ sử dụng công cụ này để thay thế cho Adobe Acrobat Pro .

Vá lỗi tạm thời cho 7 lỗi tiềm ẩn

CVE-2019-5050 là một trong bộ 6 lỗ hổng được các nhà nghiên cứu tại Cisco Talos phát hiện trong Nitro PDF Pro 12.12.1.522 và tiết lộ đầu tuần trước. Nó thuộc về chức năng phân tích cú pháp PDF của phần mềm. Các nhà nghiên cứu tin rằng chỉ với một nỗ lực nhỏ, kẻ tấn công có thể chạy mã tùy ý trên hệ hống của người dùng hiện tại.

Mitja Kolsek, CEO của công ty Acros Security, công ty đứng sau nền tảng 0Patch cho biết vấn đề này cũng xuất hiện trong bản phát hành mới nhất của Nitro PDF Pro, 13.2.3.26, phát hành ngày 27/9.

Hôm thứ 6, Kolsek thông báo rằng đã có một bản vá để ngăn chặn sự lạm dụng của CVE-2019-5050. Ông cũng cho biết bản vá này sẽ được phát hành vào thứ 2 cho khách hàng sử dụng phiên bản Pro.

CVE-2019-5050 là lỗi bảo mật duy nhất được các nhà nghiên cứu Cisco Talos phát hiện và khẳng định đối với phiên bản mới nhất của Nitro PDF Pro. Nhưng Kolsek tỏ ra nghi ngờ về điều này. Và nếu nghi ngờ của ông là đúng thì sẽ phải có bản vá lỗi cho cả 6 lỗ hổng này.

Đây không phải là vấn đề duy nhất của Nitro PDF. Một lỗi tương tự đã được báo cáo với Acros Security và Nitro Software khoảng 2 năm trước; lỗi này không thể sửa được và vẫn ảnh hưởng đến phiên bản hiện tại.

Báo cáo lỗi bảo mật đã bị Spam

Cisco Talos lần đầu gửi báo cáo tới Nitro Software vào ngày 7/5 nhưng tận 3 tháng sau, ngày 7/8 ông mới nhận được câu trả lời.

Nitro Software đã giữ im lặng bằng cách nói rằng những email trước đã bị spam. Báo cáo lỗi mà Acros Security nhận được 2 năm trước cũng như vậy, mặc dù đây là một sai sót đáng kể của nhà sản xuất.

Theo chính sách của Cisco, nhà cung cấp có 90 ngày để khắc phục sự cố, Sau đó, nếu nhà cung cấp không thể giảm thiểu rủi ro hoặc không phản hồi, sự cố sẽ bị công khai.

Nitro Software đã nhận được báo cáo từ Cisco Talos và thông báo sự cố sẽ được giải quyết trong bản phát hành lần tới. Tuy nhiên, họ không đưa ra mốc thời gian cụ thể. Khi Nitro PDF Pro có bản vá chính thức, đây sẽ là bản cập nhật bảo mật mới nhất trong gần hai năm qua.

Nếu như Nitro thực hiện bản vá lỗi khá muộn màng thì ông lớn Google lại quyết liệt và mạnh mẽ hơn nhiều trong cuộc chiến bảo vệ người dùng. Cụ thể hơn, Google gỡ các ứng dụng cho vay lãi suất cao khỏi Play Store của mình.

https://thuthuat.taimienphi.vn/nitro-pdf-pro-can-duoc-va-7-loi-rce-tiem-an-53641n.aspx
Đừng quên truy cập Taimienphi.vn thường xuyên để cập nhật soft và các thủ thuật máy tính mới nhất nhé.

Tác giả: Phương Anh     (4.0★- 3 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Discord sẽ bắt đầu bán game?
Foxit phát hành bản cập nhật mới vá mã lỗi thực thi trong Foxit PDF Reader
Cách sửa lỗi Merge process failed trong Adolix Split Merge PDF
Tổng hợp phím tắt trên PDF Reader for Windows 7
(Giveaway) Đăng ký bản quyền Lighten PDF to Word OCR, chuyển đổi PDF sang Word từ 15/4 - 25/4
Từ khoá liên quan:

Nitro Pro

, Nitro PDF Pro, Nitro PDF Pro cần được vá 7 lỗi RCE tiềm ẩn,

SOFT LIÊN QUAN
  • Nitro PDF Professional 64 bit

    Tạo, chỉnh sửa file PDF

    Nitro PDF Professional là công cụ mang lại những tiện ích tuyệt vời với khả năng hỗ trợ người dùng soạn thảo các file PDF hiệu quả. Đặc biệt, công cụ cung cấp các chức năng cơ bản nhất hỗ trợ mọi người dùng đều có thể sử ...

Tin Mới

  • Bing Translator - Dịch nhanh văn bản trên Word

    Bạn có thể dịch văn bản trực tiếp trong Word bằng công cụ Bing Translator, giúp tiết kiệm thời gian mở các phần mềm dịch khác. Cách dịch nhanh văn bản trên Word bằng Bing Translator sẽ được Taimienphi.vn hướng dẫn cụ

  • Adobe sắp phát hành Photoshop phiên bản web miễn phí cho tất cả người dùng

    Adobe hiện đang thử nghiệm phiên bản Photoshop Online miễn phí cho tất cả người dùng. Bản dùng thử hiện giới hạn cho người dùng ở Canada nhưng sẽ sớm mở rộng cho người dùng ở các khu vực khác. Hiện tại người dùng ở Canada có thể truy cập Photoshop trên web thông qua tài khoản Adobe miễn phí.

  • Facebook Messenger có phiên bản trên Web rất tiện dụng

    Ngay từ lúc ra mắt, Facebook Messenger phiên bản web đã được nhiều người lựa chọn bởi tính năng tiện dụng, đáp ứng được người dùng. Thay vì truy cập vào Facebook, bạn hoàn toàn có thể sử dụng trò chuyện dễ dàng. Chúng ta cùng trải nghiệm phiên bản Facebook Messenger trên Web này nhé.

  • Code Animiya AFK Đi Tìm Vận Mệnh mới nhất 2024

    Animiya AFK (Animiya Đi Tìm Vận Mệnh) là tựa game chiến thuật RPG cốt truyện xoay quanh 2 thế lực Sáng Thế và Diệt Thế, các Linh Chủ phải vượt qua âm mưu của những thế lực hắc ám, bảo vệ sự bình yên cho vùng đất thần thoại này. Code Animiya AFK mới nhất và cách nhập sẽ giúp bạn có thêm hàng loạt nguyên liệu hiếm vượt ải nhanh chóng.