Bạn có thể chuyển sang phiên bản mobile rút gọn của Zing News nếu mạng chậm. Đóng

Zing NewsTri thức trực tuyến

Chuyên gia Vingroup phát hiện lỗ hổng bảo mật trên Adobe Illustrator

Chuyên gia Trần Văn Khang - Trưởng nhóm Phân tích mã độc, Công ty VinCSS (Tập đoàn Vingroup) phát hiện 3 lỗ hổng bảo mật trên phần mềm thiết kế Adobe Illustrator.

Đây là những lỗ hổng bảo mật nghiêm trọng mà nếu khai thác được, hacker có thể thực thi mã tùy ý trên máy tính của nạn nhân.

Adobe ghi nhận lỗ hổng nghiêm trọng

Hãng Adobe vừa phát hành khẩn cấp bản cập nhật để khắc phục lỗ hổng bảo mật trong các phần mềm thiết kế Adobe Photoshop, Adobe After Effects, Adobe Animate, Adobe Creative Cloud Desktop Application, Adobe InDesign, Adobe Media Encoder, Adobe Premiere Pro, Adobe Dreamweaver, Adobe Illustrator và Marketo.

Vingroup anh 1

Chuyên gia Trần Văn Khang - Trưởng nhóm Phân tích mã độc của VinCSS, Tập đoàn Vingroup.

Trong số các lỗ hổng được vá, có 3 lỗ hổng bảo mật mức độ nghiêm trọng trên Adobe Illustrator được phát hiện bởi chuyên gia Trần Văn Khang - Trưởng nhóm Phân tích mã độc, Công ty TNHH Dịch vụ An ninh mạng VinCSS.

Nếu khai thác được lỗ hổng này, hacker có thể toàn quyền thực thi mã trên máy tính của nạn nhân cho các mục đích xấu. Kết quả này được Adobe ghi nhận và công bố trên trang hỗ trợ người dùng Illustrator của hãng.

Chia sẻ thông tin này, chuyên gia Trần Văn Khang cho biết: "Tôi tự hào vì có cơ hội đại diện các chuyên gia Việt Nam tham gia đóng góp cho cộng đồng an ninh mạng thế giới. Chúng tôi mong muốn và sẽ cố gắng đóng góp nhiều kết quả thiết thực cho môi trường Internet Việt Nam an toàn, là điều kiện quan trọng để đất nước phát triển hơn nữa".

Tác giả của 4 phát hiện lỗ hổng bảo mật khác

Trong quá trình công tác gần 2 năm tại VinCSS, anh Trần Văn Khang còn là chủ nhân của 4 mã CVE khác, phát hiện lỗ hổng bảo mật trong các phần mềm diệt virus là Trend Micro, McAfee, Bitdefender, ESET.

Các mã CVE này được công nhận toàn cầu và đăng tải trên hệ thống National Vulnerability Database (nvd.nist.gov) của Viện Tiêu chuẩn kỹ thuật quốc gia Mỹ (NIST):

Mã CVE 2019 - 14687: Phát hiện lỗ hổng bảo mật trong phần mềm Trend Micro Password Manager 5.0.

Mã CVE 2019 - 3646: Phát hiện lỗ hổng bảo mật trong phần mềm McAfee Total Protection - Free Antivirus Trial 16.0.R18 và các phiên bản trước đó.

Mã CVE 2019 - 17100: Phát hiện lỗ hổng bảo mật trong phần mềm Bitdefender Total Security 2020.

Mã CVE 2020 - 11446: Phát hiện lỗ hổng bảo mật trong phần mềm ESET Antivirus & Internet Security.

Tháng 4/2019, anh Trần Văn Khang vượt qua kỳ thi quốc tế và đạt chứng chỉ bảo mật cao cấp GREM (GIAC Reverse Engineering Malware - Kỹ thuật dịch ngược mã độc) do Học viện An ninh mạng SANS (Mỹ) chứng nhận.

Chứng chỉ bảo mật cao cấp GREM cung cấp cho các chuyên gia kiến thức và kỹ năng để phân tích ngược mã độc nhắm vào các nền tảng phổ biến như Microsoft Windows và trình duyệt web. Qua đó, các chuyên gia có thể nhận biết mối nguy tiềm tàng và đưa ra khả năng ứng phó với các sự cố, đồng thời củng cố độ phòng thủ của doanh nghiệp. Các chứng chỉ bảo mật GIAC có giá trị toàn cầu vì độ khó cũng như số lượng người đạt được trên toàn thế giới không nhiều.

Vingroup anh 2

Chỉ bảo mật GREM của anh Trần Văn Khang.

Đây là thành tích công nghệ mang tầm thế giới không chỉ của riêng cá nhân anh Khang, mà còn thể hiện sự nỗ lực và đầu tư của Tập đoàn Vingroup trong lĩnh vực bảo mật, an ninh thông tin. Lực lượng chuyên gia của VinCSS không ngừng tìm tòi nghiên cứu để có thể nắm bắt và làm chủ công nghệ, theo sát xu hướng thay đổi liên tục hàng ngày.

Tính đến tháng 10, sau gần 2 năm hoạt động, VinCSS đã công bố 54 lỗ hổng bảo mật được chứng nhận mã CVE toàn cầu, đăng tải trên hệ thống National Vulnerability Database (nvd.nist.gov) của NIST.

CVE (Common Vulnerabilities and Exposures) là định danh chuẩn hóa cho các lỗ hổng bảo mật trên toàn cầu. CVE cung cấp các điểm tham chiếu là cơ sở để đánh giá lỗ hổng bảo mật và công cụ, dịch vụ phù hợp với doanh nghiệp. Hầu hết tổ chức trên thế giới sử dụng CVE như một tiêu chuẩn tư vấn bảo mật. CVE hiện được duy trì, giám sát và công bố bởi The MITRE Corporation - tổ chức uy tín thế giới về việc lưu trữ danh sách các lỗ hổng bảo mật, cũng như cung cấp hướng dẫn kỹ thuật trong suốt quá trình xử lý để đảm bảo CVE phục vụ lợi ích cộng đồng.

Hạnh Trà

Bình luận

Bạn có thể quan tâm

Công nghệ