Chuyên gia của Vingroup phát hiện lỗ hổng bảo mật nghiêm trọng trên Adobe Illustrator

Gia Phong20:51 27/10/2020

Chuyên gia Trần Văn Khang , Trưởng nhóm Phân tích mã độc, Công ty VinCSS thuộc Tập đoàn Vingroup vừa phát hiện 3 lỗ hổng bảo mật nghiêm trọng trên phần mềm thiết kế nổi tiếng Adobe Illustrator . Đây là những lỗ hổng bảo mật rất nghiêm trọng,

Adobe ghi nhận lỗ hổng nghiêm trọng

Mới đây, hãng phát triển phần mềm thiết kế Adobe vừa phát hành khẩn cấp bản cập nhật để khắc phục lỗ hổng bảo mật trong các phần mềm thiết kế nổi tiếng Adobe Photoshop, Adobe After Effects, Adobe Animate, Adobe Creative Cloud Desktop Application, Adobe InDesign, Adobe Media Encoder, Adobe Premiere Pro, Adobe Dreamweaver, Adobe Illustrator và Marketo.

Trong số các lỗ hổng vừa được vá, có 3 lỗ hổng bảo mật mức độ nghiêm trọng trên Adobe Illustrator được phát hiện bởi chuyên gia Trần Văn Khang (Trưởng nhóm Phân tích mã độc, Công ty TNHH Dịch vụ An ninh mạng VinCSS – Tập đoàn Vingroup). Nếu khai thác được lỗ hổng này, hacker có thể toàn quyền thực thi mã trên máy tính của nạn nhân cho các mục đích xấu. Kết quả xuất sắc này đã được Adobe ghi nhận và công bố trên trang hỗ trợ người dùng Illustrator của hãng.

Chuyên gia Trần Văn Khang – Trưởng nhóm Phân tích mã độc của VinCSS, Tập đoàn Vingroup.

Chia sẻ về tin vui này, chuyên gia Trần Văn Khang cho biết: “Tôi rất tự hào vì đã có cơ hội để đại diện cho các chuyên gia Việt Nam tham gia đóng góp cho cộng đồng an ninh mạng thế giới . Chúng tôi mong muốn và sẽ cố gắng để đóng góp nhiều kết quả thiết thực hơn nữa cho một môi trường Internet Việt Nam an toàn, là điều kiện quan trọng để đất nước phát triển hơn nữa”.

Tác giả của 4 phát hiện lỗ hổng bảo mật khác

Trong quá trình công tác gần 2 năm tại VinCSS, ông Trần Văn Khang còn là chủ nhân của 4 mã CVE(*) khác phát hiện lỗ hổng bảo mật trong các phần mềm diệt virus phổ biến trên toàn thế giới là Trend Micro, McAfee, Bitdefender, ESET. Các mã CVE này được công nhận toàn cầu và được đăng tải trên hệ thống National Vulnerability Database (nvd.nist.gov) của Viện tiêu chuẩn kỹ thuật quốc gia Mỹ (NIST).

CVE 2019 – 14687: phát hiện lỗ hổng bảo mật trong phần mềm Trend Micro Password Manager 5.0.

Video đang HOT

CVE 2019 – 3646: phát hiện lỗ hổng bảo mật trong phần mềm McAfee Total Protection – Free Antivirus Trial 16.0.R18 và các phiên bản trước đó.

CVE 2019 – 17100: phát hiện lỗ hổng bảo mật trong phần mềm Bitdefender Total Security 2020.

CVE 2020-11446: phát hiện lỗ hỏng bảo mật trong phần mềm ESET Antivirus & internet security.

Không chỉ vậy, vào tháng 04/2019, ông Trần Văn Khang đã xuất sắc vượt qua kỳ thi quốc tế và trở thành người Việt Nam đầu tiên đạt chứng chỉ bảo mật cao cấp GREM (GIAC Reverse Engineering Malware: Kỹ thuật dịch ngược mã độc) do Học viện An ninh mạng SANS (Hoa Kỳ) chứng nhận.

Chứng chỉ bảo mật cao cấp GREM cung cấp cho các chuyên gia đầy đủ kiến thức và kỹ năng để phân tích ngược mã độc nhắm vào các nền tảng phổ biến như Microsoft Windows và trình duyệt web. Qua đó, các chuyên gia sẽ dễ dàng nhận biết các mối nguy tiềm tàng và nhanh chóng đưa ra khả năng ứng phó tốt nhất với các sự cố và luôn củng cố độ phòng thủ của doanh nghiệp ở mức cao nhất.

Các chứng chỉ bảo mật GIAC có giá trị toàn cầu vì độ khó cũng như số lượng người đạt được trên toàn thế giới không nhiều. Việc đạt các chứng chỉ bảo mật cao cấp từ Học viện SANS (Hoa Kỳ) được xem như là giấc mơ của rất nhiều chuyên gia bảo mật trên thế giới.

Ông Khang là người Việt đầu tiên đạt chứng chỉ bảo mật GREM.

Đây là thành tích công nghệ đẳng cấp thế giới không chỉ của riêng cá nhân ông Khang, mà còn thể hiện sự nỗ lực và đầu tư mạnh mẽ của Tập đoàn Vingroup trong lĩnh vực bảo mật, an ninh thông tin. Lực lượng chuyên gia của VinCSS luôn không ngừng tìm tòi nghiên cứu để có thể nắm bắt và làm chủ công nghệ, theo sát mọi xu hướng hiện đại luôn thay đổi liên tục hàng ngày.

Tính đến tháng 10/2020, sau gần 2 năm hoạt động, VinCSS đã công bố 54 lỗ hổng bảo mật được chứng nhận mã CVE toàn cầu, được đăng tải trên hệ thống National Vulnerability Database (nvd.nist.gov) của Viện tiêu chuẩn kỹ thuật quốc gia Mỹ (NIST). Các sản phẩm, giải pháp có thể kể đến như của các hãng công nghệ lớn trên thế giới Oracle, Trend Micro, F5, Microsoft, McAfee, Adobe…

(*) CVE (Common Vulnerabilities and Exposures) là định danh chuẩn hóa cho các lỗ hổng bảo mật trên toàn cầu. CVE cung cấp các điểm tham chiếu là cơ sở để đánh giá lỗ hổng bảo mật và công cụ, dịch vụ phù hợp với doanh nghiệp. Hầu hết các tổ chức trên khắp thế giới đã sử dụng CVE như một tiêu chuẩn tư vấn bảo mật. CVE hiện đang được duy trì, giám sát và công bố bởi The MITRE Corporation, tổ chức uy tín nhất thế giới về việc lưu trữ danh sách các lỗ hổng bảo mật, cũng như cung cấp hướng dẫn kỹ thuật trong suốt quá trình xử lý để đảm bảo CVE phục vụ lợi ích cộng đồng.

Vingroup tiên phong ra mắt thư viện mã nguồn mở ở Việt Nam

Công ty TNHH Dịch vụ An ninh mạng VinCSS (thuộc Tập đoàn Vingroup) vừa hoàn thành nghiên cứu và công bố thư viện mã nguồn mở FIDO2 Client đầu tiên tại Việt Nam, hỗ trợ tích hợp xác thực không mật khẩu theo chuẩn FIDO2.

Xác thực không mật khẩu là xu hướng của thế giới. Việc ra đời thư viện mã nguồn mở FIDO2 Client góp phần tháo gỡ các rào cản cho lĩnh vực xác thực mạnh theo chuẩn FIDO2. Nhờ đó, các đơn vị đi sau sẽ tiết kiệm được tài sản và nguồn nhân lực khi phát triển các ứng dụng trên nền ngôn ngữ Node.js.

FIDO2 Client là Thư viện mã nguồn mở đầu tiên tại Việt Nam về xác thực không mật khẩu.

FIDO2 Client là Thư viện mã nguồn mở (open-source library) gồm các mã lệnh sử dụng ngôn ngữ lập trình Note.js, dùng để hỗ trợ phát triển các ứng dụng sử dụng ngôn ngữ Note.js hoặc ứng dụng desktop dùng Electron framework tích hợp xác thực không mật khẩu theo chuẩn FIDO2.

Hiện nay, giao thức mã PIN (Personal Identification Number Protocol) của chuẩn FIDO2 chỉ hỗ trợ Windows và trình duyệt Chrome trên MacOS. Đây là trở ngại lớn cho các ứng dụng khác nếu muốn tích hợp xác thực không mật khẩu có sử dụng PIN Protocol. Thư viện mã nguồn mở FIDO2 Client là chìa khóa cho bài toán này khi cho phép nhà phát triển tạo ra ứng dụng tích hợp xác thực không mật khẩu theo chuẩn FIDO2 có sử dụng PIN Protocol trên hệ điều hành MacOS và Linux.

VinCSS đang đi từng bước chắc chắn để hình thành hệ sinh thái xác thực mạnh theo chuẩn FIDO2, khi lần lượt đạt chứng nhận quốc tế cho Authenticator (khóa xác thực), Server (máy chủ xác thực) và công bố Thư viện mã nguồn mở FIDO2 Client.

Tiếp theo, VinCSS sẽ tập trung nghiên cứu tích hợp những phần mềm desktop truyền thống có mã nguồn đóng để hỗ trợ đăng nhập không mật khẩu, tiến tới mục tiêu làm chủ hoàn toàn việc cung cấp dịch vụ chuyển đổi sang đăng nhập không mật khẩu cho các khách hàng lớn tại Việt Nam và quốc tế.

Việc công bố nghiên cứu này đã góp phần đưa Việt Nam tiến đến gần hơn với công nghệ xác thực không mật khẩu và đóng góp cho cộng đồng FIDO thế giới.

Công ty TNHH Dịch vụ An ninh mạng VinCSS thuộc Tập đoàn Vingroup hoạt động chính trong lĩnh vực nghiên cứu - phát triển, sản xuất các sản phẩm và cung cấp các dịch vụ an ninh mạng. Với đội ngũ nhân sự là những kỹ sư, chuyên gia hàng đầu Việt Nam và quốc tế, VinCSS cung cấp cho khách hàng các giải pháp an ninh mạng thiết thực, toàn diện, thông minh và tự động ở đẳng cấp quốc tế.

Tháng 1/2020 VinCSS đạt chứng chỉ FIDO2 cho sản phẩm khoá xác thực: VinCSS FIDO2 Authenticator do Liên minh Xác thực trực tuyến thế giới (FIDO Alliance) chứng nhận. Mới đây, VinCSS tiếp tục công bố đạt chứng chỉ chuẩn FIDO2 cho máy chủ xác thực mạnh VinCSS FIDO2 Server, đưa Vingroup trở thành 1 trong 13 các công ty trên thế giới vừa sở hữu khóa xác thực mạnh vừa sở hữu máy chủ xác thực (server).

Chi tiết về Thư viện mã nguồn mở FIDO2 Client được đăng tải đầy đủ trên Github: https://github.com/VinCSS-Public-Projects/FIDO2Client

Lợi ích của các tổ chức khi sử dụng Thư viện mã nguồn mở phát triển phần mềm, ứng dụng:

- Miễn phí bản quyền và các phiên bản nâng cấp.

- Tiết kiệm chi phí khi sử dụng kết quả nghiên cứu sẵn có, không cần đầu tư quá nhiều cho việc nghiên cứu ngay từ đầu.

- Giảm tính phụ thuộc vào một vài nhà cung cấp phần mềm độc quyền (cải thiện tình trạng chất lượng dịch vụ kém, bị ép chị phí...)

- Nâng cao tính bảo mật khi dữ liệu không hoàn toàn bị kiểm soát bởi một vài nhà cung cấp độc quyền.

- Tính bảo mật tốt. Các lỗ hổng trên các phần mềm được phát triển trên nền tảng open-source, dễ dàng phát hiện hơn so với các phần mềm độc quyền.

- Cộng đồng hỗ trợ lớn.

Vingroup đạt chuẩn FIDO2 thứ hai cho máy chủ xác thực mạnh Công ty An ninh mạng VinCSS (thuộc Vingroup) công bố đạt chứng chỉ FIDO2 của "Liên minh Xác thực trực tuyến thế giới" (FIDO Alliance)cho máy chủ xác thực mạnh VinCSS FIDO2 Server. VinCSS FIDO2 Server cung cấp dịch vụ chuyển đổi xác thực mạnh trọn vẹn cả về hạ tầng và công nghệ, đặc biệt cho doanh nghiệp tài chính - ngân...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Thiếu sót lớn nhất Samsung mắc phải với One UI 703:50

Google tích hợp AI vào công cụ tìm kiếm, trình duyệt web Chrome...01:38

Điều gì xảy ra nếu Google không còn mặc định trên iPhone?08:38

Các thiết bị Xiaomi sắp được cập nhật lên HyperOS 2.201:22

Tiêu điểm

Tin đang nóng

Tin mới nhất

Apple rơi vào thế khó

18:03:29 31/05/2025

Lượng iPhone xuất xưởng từ Ấn Độ sang Mỹ trong tháng 4 đã tăng 76% so với cùng kỳ năm ngoái. Sự tăng trưởng đột ngột này diễn ra khi Apple đẩy nhanh kế hoạch sản xuất iPhone tại Ấn Độ .

Trí tuệ nhân tạo: Chatbot AI của Meta cán mốc 1 tỷ người dùng mỗi tháng

17:27:13 29/05/2025

Tại cuộc họp cổ đông thường niên của Meta, ông Zuckerberg đã nhấn mạnh cột mốc trên trong bối cảnh gã khổng lồ mạng xã hội đang cạnh tranh với Google, Microsoft, OpenAI và những công ty khác để dẫn đầu cuộc đua trong lĩnh vực Gen AI.

DeepSeek nâng cấp mô hình suy luận R1 trước sự kiện của Nvidia được giới công nghệ mong chờ

05:45:59 29/05/2025

Nhóm các nhà khoa học trẻ của DeepSeek cho biết đã tiết lộ các khối xây dựng được thử nghiệm trong thực tế để chia sẻ tiến bộ tuy nhỏ nhưng chân thành với sự minh bạch tuyệt đối .

Mô hình AI y tế của Alibaba đạt chuẩn phó trưởng khoa trong kỳ thi, vượt DeepSeek-R1 và GPT-4o

05:40:21 29/05/2025

Alibaba cho biết mô hình này đã được tinh chỉnh để nâng cao độ chính xác với sự hợp tác của các bệnh viện và cơ sở y tế. Đó là những nơi cũng đang áp dụng nó vào ứng dụng riêng của họ.

GIZ và WEVN hỗ trợ phụ nữ khởi nghiệp phát triển mô hình điện mặt trời ban công

05:19:04 29/05/2025

Điện mặt trời ban công giải pháp phi tập trung, nhỏ gọn đang được coi là hướng đi khả thi để tận dụng không gian nhà ở tại đô thị, giảm chi phí điện và góp phần cắt giảm khí thải carbon.

Mô hình AI của OpenAI bất ngờ 'chống lệnh' tắt máy, đến cả Elon Musk cũng 'sốc'

08:47:24 28/05/2025

Tuy nhiên, chính khả năng tự chủ này dường như đã mở ra những rủi ro mới. Palisade Research cảnh báo hành vi tự bảo vệ của o3 sẽ trở nên đáng lo ngại hơn nhiều nếu được áp dụng trong các hệ thống AI hoạt động mà không có sự giám sát của...

Samsung tham gia đầu tư vào lĩnh vực thiết bị y tế tích hợp AI

08:44:30 28/05/2025

Người sáng lập Exo, Janusz Bryzek (một huyền thoại trong lĩnh vực MEMS), đã chia sẻ rằng công ty được thành lập dựa trên thực tế là 75% dân số thế giới không được tiếp cận với hình ảnh y tế.

Google trình làng tính năng đột phá về bảo mật cho Chrome

08:38:12 28/05/2025

Đồng thời, Google sẽ mở rộng API Credential Manager để cho phép những nhà phát triển yêu cầu thông tin xác thực từ trình duyệt, từ đó giúp nâng cao trải nghiệm đăng nhập an toàn.

FBI cảnh báo 13 bộ định tuyến Internet dễ bị tấn công mạng

08:35:34 28/05/2025

Một khi đã xâm nhập, chúng có thể cài đặt mã độc hoặc thiết lập botnet nhóm thiết bị kết nối với Internet bị xâm phạm và điều khiển bởi bên thứ ba để sử dụng trong những hoạt động như đánh cắp dữ liệu, gửi tin nhắn rác, tấn công từ chối...

Robot trong sản xuất ô tô toàn cầu ngày càng thông minh hơn

08:09:20 28/05/2025

Trong quá trình lập trình lại, về cơ bản toàn bộ chuỗi của bạn sẽ bị đóng lại , Yulin Wang, một nhà phân tích công nghệ cấp cao nghiên cứu về robot cho công ty tình báo thị trường IDTechEx cho biết. Chi phí thời gian chết khá đáng kể .

Cập nhật One UI khiến Galaxy S21 FE bị sọc xanh màn hình

17:52:36 27/05/2025

Theo chia sẻ của chủ nhân chiếc S21 FE, người này đã cố tình trì hoãn việc cập nhật phiên bản One UI 6.1 (phát hành từ tháng 4.2024) trong suốt một năm.