Hôm thứ Ba vừa rồi, một Hacker không rõ danh tính đã đăng mã tấn công Proof-of-Concept, biểu diễn cách khai thác lỗ hổng trên Illustrator để chạy phần mềm độc trên máy tính nạn nhân. Adobe cho biết họ đang nghiên cứu kiểu tấn công này, nhưng chưa rõ khi nào thì tiến hành khắc phục. 

Để thực hiện kiểu tấn công này, người dùng phải mở một file Encapsulated PostScript (.eps) độc hại trong Illustrator.

Do mã tấn công này đã được công bố rộng rãi và giới tội phạm có thể tiếp cận được nên lỗ hổng này đã trở thành chuyện nghiêm trọng. 

Tuy nhiên, Giám đốc sản phẩm an ninh Adobe Brad Arkin cho biết nhóm của ông chưa xác nhận liệu kiểu tấn công này có thể cài virus lên máy tính hay không. “Chúng tôi đã thử nghiệm trên ít nhất một phiên bản và nền tảng,” ông nói. “Ngay sau khi có báo cáo, chúng tôi sẽ phát hành cảnh báo.” 

Hãng an ninh Secunia thì cho biết lỗ hổng này nằm trong bản Illustrator Creative Suite 13 và 14, và rằng các bản khác cũng có thể bị ảnh hưởng. 

Trong khi đó, Adobe dự định sẽ vá các lỗ hổng nghiêm trọng khác trong phần mềm Flash Player vào thứ ba tới. Bản cập nhật này không liên quan gì đến lỗ hổng trong Illustrator và đã được lên lịch từ trước. Arkin cho biết: “Theo chúng tôi được biết, lỗ hổng [Illustrator] không liên quan gì đến Flash Player."

Bản cập nhật Flash Player hôm thứ 3 này cùng ngày với ngày Microsoft dự định phát hành 6 bản cập nhật an ninh cho Windows, Office và Internet Explorer, trong đó có một bản vá cho một lỗ hổng vừa công bố trong Internet Explorer.   

Sau các bản vá hôm thứ 3 tới, Adobe sẽ phát hành thêm những bản vá cho Reader và Acrobat vào ngày 12 tháng 1 năm sau.