Chuyên gia của Vingroup phát hiện lỗ hổng bảo mật nghiêm trọng trên Adobe Illustrator

Gia Phong20:51 27/10/2020

Chuyên gia Trần Văn Khang, Trưởng nhóm Phân tích mã độc, Công ty VinCSS thuộc Tập đoàn Vingroup vừa phát hiện 3 lỗ hổng bảo mật nghiêm trọng trên phần mềm thiết kế nổi tiếng Adobe Illustrator. Đây là những lỗ hổng bảo mật rất nghiêm trọng,

Adobe ghi nhận lỗ hổng nghiêm trọng

Mới đây, hãng phát triển phần mềm thiết kế Adobe vừa phát hành khẩn cấp bản cập nhật để khắc phục lỗ hổng bảo mật trong các phần mềm thiết kế nổi tiếng Adobe Photoshop, Adobe After Effects, Adobe Animate, Adobe Creative Cloud Desktop Application, Adobe InDesign, Adobe Media Encoder, Adobe Premiere Pro, Adobe Dreamweaver, Adobe Illustrator và Marketo.

Trong số các lỗ hổng vừa được vá, có 3 lỗ hổng bảo mật mức độ nghiêm trọng trên Adobe Illustrator được phát hiện bởi chuyên gia Trần Văn Khang (Trưởng nhóm Phân tích mã độc, Công ty TNHH Dịch vụ An ninh mạng VinCSS – Tập đoàn Vingroup). Nếu khai thác được lỗ hổng này, hacker có thể toàn quyền thực thi mã trên máy tính của nạn nhân cho các mục đích xấu. Kết quả xuất sắc này đã được Adobe ghi nhận và công bố trên trang hỗ trợ người dùng Illustrator của hãng.

Chuyên gia Trần Văn Khang – Trưởng nhóm Phân tích mã độc của VinCSS, Tập đoàn Vingroup.

Chia sẻ về tin vui này, chuyên gia Trần Văn Khang cho biết: “Tôi rất tự hào vì đã có cơ hội để đại diện cho các chuyên gia Việt Nam tham gia đóng góp cho cộng đồng an ninh mạng thế giới. Chúng tôi mong muốn và sẽ cố gắng để đóng góp nhiều kết quả thiết thực hơn nữa cho một môi trường Internet Việt Nam an toàn, là điều kiện quan trọng để đất nước phát triển hơn nữa”.

Tác giả của 4 phát hiện lỗ hổng bảo mật khác

Trong quá trình công tác gần 2 năm tại VinCSS, ông Trần Văn Khang còn là chủ nhân của 4 mã CVE(*) khác phát hiện lỗ hổng bảo mật trong các phần mềm diệt virus phổ biến trên toàn thế giới là Trend Micro, McAfee, Bitdefender, ESET. Các mã CVE này được công nhận toàn cầu và được đăng tải trên hệ thống National Vulnerability Database (nvd.nist.gov) của Viện tiêu chuẩn kỹ thuật quốc gia Mỹ (NIST).

CVE 2019 – 14687: phát hiện lỗ hổng bảo mật trong phần mềm Trend Micro Password Manager 5.0.

Video đang HOT

CVE 2019 – 3646: phát hiện lỗ hổng bảo mật trong phần mềm McAfee Total Protection – Free Antivirus Trial 16.0.R18 và các phiên bản trước đó.

CVE 2019 – 17100: phát hiện lỗ hổng bảo mật trong phần mềm Bitdefender Total Security 2020.

CVE 2020-11446: phát hiện lỗ hỏng bảo mật trong phần mềm ESET Antivirus & internet security.

Không chỉ vậy, vào tháng 04/2019, ông Trần Văn Khang đã xuất sắc vượt qua kỳ thi quốc tế và trở thành người Việt Nam đầu tiên đạt chứng chỉ bảo mật cao cấp GREM (GIAC Reverse Engineering Malware: Kỹ thuật dịch ngược mã độc) do Học viện An ninh mạng SANS (Hoa Kỳ) chứng nhận.

Chứng chỉ bảo mật cao cấp GREM cung cấp cho các chuyên gia đầy đủ kiến thức và kỹ năng để phân tích ngược mã độc nhắm vào các nền tảng phổ biến như Microsoft Windows và trình duyệt web. Qua đó, các chuyên gia sẽ dễ dàng nhận biết các mối nguy tiềm tàng và nhanh chóng đưa ra khả năng ứng phó tốt nhất với các sự cố và luôn củng cố độ phòng thủ của doanh nghiệp ở mức cao nhất.

Các chứng chỉ bảo mật GIAC có giá trị toàn cầu vì độ khó cũng như số lượng người đạt được trên toàn thế giới không nhiều. Việc đạt các chứng chỉ bảo mật cao cấp từ Học viện SANS (Hoa Kỳ) được xem như là giấc mơ của rất nhiều chuyên gia bảo mật trên thế giới.

Ông Khang là người Việt đầu tiên đạt chứng chỉ bảo mật GREM.

Đây là thành tích công nghệ đẳng cấp thế giới không chỉ của riêng cá nhân ông Khang, mà còn thể hiện sự nỗ lực và đầu tư mạnh mẽ của Tập đoàn Vingroup trong lĩnh vực bảo mật, an ninh thông tin. Lực lượng chuyên gia của VinCSS luôn không ngừng tìm tòi nghiên cứu để có thể nắm bắt và làm chủ công nghệ, theo sát mọi xu hướng hiện đại luôn thay đổi liên tục hàng ngày.

Tính đến tháng 10/2020, sau gần 2 năm hoạt động, VinCSS đã công bố 54 lỗ hổng bảo mật được chứng nhận mã CVE toàn cầu, được đăng tải trên hệ thống National Vulnerability Database (nvd.nist.gov) của Viện tiêu chuẩn kỹ thuật quốc gia Mỹ (NIST). Các sản phẩm, giải pháp có thể kể đến như của các hãng công nghệ lớn trên thế giới Oracle, Trend Micro, F5, Microsoft, McAfee, Adobe…

(*) CVE (Common Vulnerabilities and Exposures) là định danh chuẩn hóa cho các lỗ hổng bảo mật trên toàn cầu. CVE cung cấp các điểm tham chiếu là cơ sở để đánh giá lỗ hổng bảo mật và công cụ, dịch vụ phù hợp với doanh nghiệp. Hầu hết các tổ chức trên khắp thế giới đã sử dụng CVE như một tiêu chuẩn tư vấn bảo mật. CVE hiện đang được duy trì, giám sát và công bố bởi The MITRE Corporation, tổ chức uy tín nhất thế giới về việc lưu trữ danh sách các lỗ hổng bảo mật, cũng như cung cấp hướng dẫn kỹ thuật trong suốt quá trình xử lý để đảm bảo CVE phục vụ lợi ích cộng đồng.

Vingroup tiên phong ra mắt thư viện mã nguồn mở ở Việt Nam

Công ty TNHH Dịch vụ An ninh mạng VinCSS (thuộc Tập đoàn Vingroup) vừa hoàn thành nghiên cứu và công bố thư viện mã nguồn mở FIDO2 Client đầu tiên tại Việt Nam, hỗ trợ tích hợp xác thực không mật khẩu theo chuẩn FIDO2.

Xác thực không mật khẩu là xu hướng của thế giới. Việc ra đời thư viện mã nguồn mở FIDO2 Client góp phần tháo gỡ các rào cản cho lĩnh vực xác thực mạnh theo chuẩn FIDO2. Nhờ đó, các đơn vị đi sau sẽ tiết kiệm được tài sản và nguồn nhân lực khi phát triển các ứng dụng trên nền ngôn ngữ Node.js.

FIDO2 Client là Thư viện mã nguồn mở đầu tiên tại Việt Nam về xác thực không mật khẩu.

FIDO2 Client là Thư viện mã nguồn mở (open-source library) gồm các mã lệnh sử dụng ngôn ngữ lập trình Note.js, dùng để hỗ trợ phát triển các ứng dụng sử dụng ngôn ngữ Note.js hoặc ứng dụng desktop dùng Electron framework tích hợp xác thực không mật khẩu theo chuẩn FIDO2.

Hiện nay, giao thức mã PIN (Personal Identification Number Protocol) của chuẩn FIDO2 chỉ hỗ trợ Windows và trình duyệt Chrome trên MacOS. Đây là trở ngại lớn cho các ứng dụng khác nếu muốn tích hợp xác thực không mật khẩu có sử dụng PIN Protocol. Thư viện mã nguồn mở FIDO2 Client là chìa khóa cho bài toán này khi cho phép nhà phát triển tạo ra ứng dụng tích hợp xác thực không mật khẩu theo chuẩn FIDO2 có sử dụng PIN Protocol trên hệ điều hành MacOS và Linux.

VinCSS đang đi từng bước chắc chắn để hình thành hệ sinh thái xác thực mạnh theo chuẩn FIDO2, khi lần lượt đạt chứng nhận quốc tế cho Authenticator (khóa xác thực), Server (máy chủ xác thực) và công bố Thư viện mã nguồn mở FIDO2 Client.

Tiếp theo, VinCSS sẽ tập trung nghiên cứu tích hợp những phần mềm desktop truyền thống có mã nguồn đóng để hỗ trợ đăng nhập không mật khẩu, tiến tới mục tiêu làm chủ hoàn toàn việc cung cấp dịch vụ chuyển đổi sang đăng nhập không mật khẩu cho các khách hàng lớn tại Việt Nam và quốc tế.

Việc công bố nghiên cứu này đã góp phần đưa Việt Nam tiến đến gần hơn với công nghệ xác thực không mật khẩu và đóng góp cho cộng đồng FIDO thế giới.

Công ty TNHH Dịch vụ An ninh mạng VinCSS thuộc Tập đoàn Vingroup hoạt động chính trong lĩnh vực nghiên cứu - phát triển, sản xuất các sản phẩm và cung cấp các dịch vụ an ninh mạng. Với đội ngũ nhân sự là những kỹ sư, chuyên gia hàng đầu Việt Nam và quốc tế, VinCSS cung cấp cho khách hàng các giải pháp an ninh mạng thiết thực, toàn diện, thông minh và tự động ở đẳng cấp quốc tế.

Tháng 1/2020 VinCSS đạt chứng chỉ FIDO2 cho sản phẩm khoá xác thực: VinCSS FIDO2 Authenticator do Liên minh Xác thực trực tuyến thế giới (FIDO Alliance) chứng nhận. Mới đây, VinCSS tiếp tục công bố đạt chứng chỉ chuẩn FIDO2 cho máy chủ xác thực mạnh VinCSS FIDO2 Server, đưa Vingroup trở thành 1 trong 13 các công ty trên thế giới vừa sở hữu khóa xác thực mạnh vừa sở hữu máy chủ xác thực (server).

Chi tiết về Thư viện mã nguồn mở FIDO2 Client được đăng tải đầy đủ trên Github: https://github.com/VinCSS-Public-Projects/FIDO2Client

Lợi ích của các tổ chức khi sử dụng Thư viện mã nguồn mở phát triển phần mềm, ứng dụng:

- Miễn phí bản quyền và các phiên bản nâng cấp.

- Tiết kiệm chi phí khi sử dụng kết quả nghiên cứu sẵn có, không cần đầu tư quá nhiều cho việc nghiên cứu ngay từ đầu.

- Giảm tính phụ thuộc vào một vài nhà cung cấp phần mềm độc quyền (cải thiện tình trạng chất lượng dịch vụ kém, bị ép chị phí...)

- Nâng cao tính bảo mật khi dữ liệu không hoàn toàn bị kiểm soát bởi một vài nhà cung cấp độc quyền.

- Tính bảo mật tốt. Các lỗ hổng trên các phần mềm được phát triển trên nền tảng open-source, dễ dàng phát hiện hơn so với các phần mềm độc quyền.

- Cộng đồng hỗ trợ lớn.

Vingroup đạt chuẩn FIDO2 thứ hai cho máy chủ xác thực mạnh Công ty An ninh mạng VinCSS (thuộc Vingroup) công bố đạt chứng chỉ FIDO2 của "Liên minh Xác thực trực tuyến thế giới" (FIDO Alliance)cho máy chủ xác thực mạnh VinCSS FIDO2 Server. VinCSS FIDO2 Server cung cấp dịch vụ chuyển đổi xác thực mạnh trọn vẹn cả về hạ tầng và công nghệ, đặc biệt cho doanh nghiệp tài chính - ngân...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Độc lạ 'vua hài' Xuân Hinh rap, Hòa Minzy 'gây bão' triệu view04:19

Vụ ngoại tình hot nhất MXH hôm nay: Bỏ 400 triệu đồng giúp chồng làm ăn, vợ mở camera phát hiện sự thật đau lòng00:57

Toàn cảnh vụ fan 'Anh trai say hi' mắng nghệ sĩ tới tấp ở rạp chiếu phim02:46

Nam Em khiến khán giả tức giận00:20

Người đàn ông không rời mắt khỏi Mỹ Tâm01:04

Về Ninh Thuận gặp ông bà ngoại bé Bắp giữa ồn ào 16,7 tỷ đồng từ thiện: "Con tôi nhỡ miệng, mong cô chú tha thứ cho nó"04:58

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn