Adobe Vá 254 Lỗ Hổng Bảo Mật Trên Nhiều Sản Phẩm: Cập Nhật Ngay!

11/06/2025
2 mins read
Nội dung
Adobe Phát Hành Bản Vá Bảo Mật Khắc Phục 254 Lỗ Hổng Trên Nhiều Sản Phẩm
Các Lỗ Hổng Được Xử Lý
1. Experience Manager (AEM)
2. Adobe Commerce và Magento Open Source
3. Adobe Acrobat Reader
4. InCopy
5. InDesign
6. Substance 3D Sampler và Painter
Thông Tin Bổ Sung
Kết Luận

Adobe Phát Hành Bản Vá Bảo Mật Khắc Phục 254 Lỗ Hổng Trên Nhiều Sản Phẩm

Adobe vừa công bố bản vá bảo mật để xử lý tổng cộng 254 lỗ hổng trên nhiều sản phẩm phần mềm, bao gồm Adobe Acrobat Reader, InCopy, Experience Manager (AEM), Commerce, InDesign, Substance 3D Sampler và Substance 3D Painter. Bản vá này tập trung vào các vấn đề nghiêm trọng có thể dẫn đến thực thi mã tùy ý, vượt qua các tính năng bảo mật và leo thang đặc quyền. Dưới đây là các thông tin kỹ thuật chi tiết về các lỗ hổng được khắc phục.

Các Lỗ Hổng Được Xử Lý

1. Experience Manager (AEM)

  • Tác động: 225 lỗ hổng, chủ yếu là các lỗ hổng Cross-Site Scripting (XSS), bao gồm Stored XSS và DOM-based XSS.
  • Giải pháp: Đã được khắc phục trong bản phát hành AEM Cloud Service 2025.5 và phiên bản 6.5.23.
  • Rủi ro: Việc khai thác thành công có thể dẫn đến thực thi mã tùy ý (arbitrary code execution), leo thang đặc quyền (privilege escalation) và vượt qua các tính năng bảo mật (security feature bypass).

2. Adobe Commerce và Magento Open Source

  • CVE-2025-47110: Lỗ hổng Reflected XSS với điểm CVSS là 9.1, có thể dẫn đến thực thi mã tùy ý.
  • CVE-2025-43585: Lỗ hổng liên quan đến xác thực không đúng (improper authorization) với điểm CVSS là 8.2, có thể dẫn đến vượt qua tính năng bảo mật.

3. Adobe Acrobat Reader

  • Tác động: 10 lỗ hổng có khả năng dẫn đến thực thi mã trong kịch bản “open-and-own” (mở và chiếm quyền kiểm soát).

4. InCopy

  • Tác động: Hai lỗi thực thi mã được xếp hạng Critical.

5. InDesign

  • Tác động: Trong số 9 CVE, có 5 lỗi thực thi mã được xếp hạng Critical, các lỗi còn lại liên quan đến rò rỉ bộ nhớ (memory leaks).

6. Substance 3D Sampler và Painter

  • Tác động: Hai lỗi thực thi mã trong Substance 3D Sampler và một lỗi Out-of-Bounds (OOB) Write trong Substance 3D Painter.

Thông Tin Bổ Sung

  • Ưu tiên vá lỗi: Các bản sửa lỗi cho Adobe Commerce được xếp hạng Priority 1, mặc dù hiện chưa ghi nhận khai thác (exploit) đối với 5 CVE được xử lý.

Kết Luận

Bản vá này có vai trò quan trọng trong việc bảo vệ người dùng các sản phẩm Adobe khỏi các rủi ro bảo mật tiềm ẩn. Quản trị viên hệ thống và người dùng nên triển khai bản cập nhật ngay lập tức để đảm bảo tính toàn vẹn của hệ thống. Hãy kiểm tra các phiên bản phần mềm hiện tại và áp dụng bản vá tương ứng theo hướng dẫn từ Adobe.