Adobe CVE-2011-2461 vẫn tồn tại khai thác thông qua FLEX 4 năm sau khi được vá

Bản vá Adobe Flash từ 4 năm trước vẫn chưa thể giải quyết được toàn bộ lỗ hổng trong ứng dụng Flex, tin tặc có thể khai thác bug này trên các trang web hàng đầu thế giới.

Nhà nghiên cứu bảo mật của Linkedln Luca Caretton, Mauro Gentile và công ty Minded Security đã cho thấy phát hiện của họ Shockwave Flash file được biên dịch từ một bộ công cụ phát triển Flex tồn tại khai thác mặc dù trình duyệt web và Flash plugin được cập nhật đầy đủ.

Adobe cho biết họ đã nhận thức được vấn đề với Flex  và tung ra công cụ sửa lỗi từ năm 2011. Các nhà nghiên cứu đã công bố một phần chi tiết về lỗ hổng. Họ lên kết hoạch công bố toàn bộ bug và bản chứng minh (POC) vào tương lai gần khi họ đã có đủ thông tin về lỗ hổng. Carettoni và Gentile đã thông báo đến các trang web bị ảnh hưởng và Adobe. Nếu có thể bị khai thác, lỗ hổng có thể cho phép tin tặc đánh cắp thông tin từ hệ thống thông qua tấn công  Cross-Site Request Forgery (CSRF).

Bạn có thể truy cập tại đây để tìm hiểu thêm về lỗ hổng.

techworm