Nitro PDF Pro cần được vá để khắc phục 7 lỗ hổng RCE tiềm ẩn.

Phiên bản hiện tại của phần mềm đọc file PDF Nitro Pro hiện đang mắc phải ít nhất một lỗ hổng có thể bị lợi dụng để thực thi mã từ xa trên máy chủ của nạn nhân. Một bên thứ ba hiện đang tiến hành vá lỗi này.

Nitro PDF Pro cần phải được vá để khắc phục 7 lỗ hổng RCE tiềm ẩn.

- Tải về Nitro Pro

Phiên bản vá chính thức từ nhà phát triển của công cụ Nitro PDF Pro không có sẵn cho lỗ hổng bảo mật này. Việc xâm nhập có thể thực hiện thông qua một tệp PDF có cấu trúc đặc biệt và được mở bằng phiên bản phần mềm dễ bị tấn công.

Tập đối tượng chính của Nitro PDF là các doanh nghiệp, bao gồm cả các công ty hoạt động ở quy mô quốc gia hoặc toàn cầu. Họ sử dụng công cụ này như là một sự thay thế cho Adobe Acrobat Pro .

Vá lỗi tạm thời cho 7 lỗ hổng tiềm ẩn

CVE-2019-5050 là một trong 6 lỗ hổng mà các chuyên gia tại Cisco Talos phát hiện trong Nitro PDF Pro 12.12.1.522 và tiết lộ vào tuần trước. Nó liên quan đến tính năng phân tích cú pháp PDF của phần mềm. Các chuyên gia tin rằng với một nỗ lực nhỏ, kẻ tấn công có thể thực thi mã tùy ý trên hệ thống của người dùng.

Mitja Kolsek, CEO của công ty Acros Security, công ty đứng sau nền tảng 0Patch, cho biết vấn đề này cũng xuất hiện trong phiên bản mới nhất của Nitro PDF Pro, 13.2.3.26, phát hành vào ngày 27/9.

Vào thứ 6 vừa qua, Kolsek thông báo rằng một bản vá đã được phát triển để ngăn chặn sự lạm dụng của CVE-2019-5050. Ông cũng nói rằng bản vá này sẽ được phát hành vào thứ 2 cho các khách hàng sử dụng phiên bản Pro.

CVE-2019-5050 là lỗi bảo mật duy nhất mà các chuyên gia từ Cisco Talos phát hiện và xác nhận trên phiên bản mới nhất của Nitro PDF Pro. Tuy nhiên, Kolsek cảm thấy nghi ngờ về điều này. Nếu nghi ngờ của ông là đúng, sẽ cần có bản vá cho cả 6 lỗ hổng này.

Điều này không phải là vấn đề duy nhất mà Nitro PDF gặp phải. Một lỗi tương tự đã được báo cáo cho Acros Security và Nitro Software khoảng 2 năm trước; lỗi này không thể khắc phục và vẫn ảnh hưởng đến phiên bản hiện tại.

Báo cáo về lỗi bảo mật đã bị gửi nhầm vào thư rác

Lần đầu tiên Cisco Talos gửi báo cáo tới Nitro Software vào ngày 7/5 nhưng mất tới 3 tháng sau, vào ngày 7/8 họ mới nhận được câu trả lời.

Nitro Software đã giữ im lặng bằng cách nói rằng những email trước đã bị gửi vào thư rác. Báo cáo lỗi mà Acros Security nhận được cách đây 2 năm cũng bị xử lý tương tự, mặc dù đây là một lỗi lớn từ phía nhà sản xuất.

Theo chính sách của Cisco, nhà cung cấp có 90 ngày để khắc phục sự cố. Sau đó, nếu nhà cung cấp không giảm thiểu được rủi ro hoặc không phản hồi, sự cố sẽ được công khai.

Nitro Software đã nhận được báo cáo từ Cisco Talos và thông báo rằng sự cố sẽ được giải quyết trong bản cập nhật kế tiếp. Tuy nhiên, họ không đưa ra thời gian cụ thể. Khi Nitro PDF Pro có bản vá chính thức, đó sẽ là bản cập nhật bảo mật mới nhất trong gần hai năm qua.

Nếu Nitro thực hiện bản vá lỗi quá muộn, thì Google lại thể hiện sự quyết liệt và mạnh mẽ hơn nhiều trong cuộc chiến bảo vệ người dùng. Cụ thể, Google đã gỡ bỏ các ứng dụng cho vay lãi suất cao khỏi Play Store của mình.

Hãy đừng quên thường xuyên truy cập Mytour để cập nhật phần mềm và các mẹo máy tính mới nhất nhé.