Phát hiện 6 lỗ hổng bảo mật trên Adobe và Microsoft

Đó là công sức mới nhất của Trần Văn Khang, trưởng nhóm phân tích mã độc (công ty dịch vụ an ninh mạng VinCSS, thuộc Vingroup).

Tính đến nay, tổng số lỗ hổng bảo mật zeroday (những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục) mà VinCSS phát hiện đã lên 80 mã CVE (định danh chuẩn hóa cho các lỗ hổng bảo mật trên toàn cầu).

Trần Văn Khang, trưởng nhóm phân tích mã độc (công ty dịch vụ an ninh mạng VinCSS, thuộc Vingroup). Ảnh: T. Tuyền

Ngày 14.9.2021, Adobe đã phát hành bản vá cho các lỗ hổng bảo mật của ứng dụng Adobe Framemaker trên nền tảng Windows. Trước đó, Trần Văn Khang đã phát hiện ba lỗ hổng được ghi nhận ở mức nghiêm trọng của ứng dụng này.

Ngay sau đó, ngày 15.9.2021, Trần Văn Khang đã được Microsoft ghi nhận vì đã phát hiện và cảnh báo ba lỗ hổng bảo mật mức nghiêm trọng tồn tại trong ứng dụng thuộc bộ sản phẩm Microsoft 365 Apps for Enterprise. Các lỗ hổng này cho phép tin tặc lợi dụng, chiếm quyền điều khiển thiết bị nạn nhân, truy cập vào mạng lưới của tổ chức và thực hiện các hành vi xâm phạm an ninh mạng nguy hiểm, có thể gây thiệt hại lớn cho doanh nghiệp.

Trong ba năm làm việc tại VinCSS, Trần Văn Khang đều đặn nghiên cứu, phát hiện và trở thành chủ nhân của tổng cộng 27 mã CVE. Các phát hiện lỗ hổng bảo mật của Trần Văn Khang là các sản phẩm của Microsoft, Adobe và những phần mềm diệt virus phổ biến của Trend Micro, McAfee, Bitdefender, ESET. Các phát hiện này đã giúp các hãng công nghệ kịp thời khắc phục, loại bỏ mối nguy hiểm đe doạ hàng tỷ người dùng trên toàn cầu.

Trước đó, vào tháng 4/2019, Trần Văn Khang đã trở thành người Việt Nam đầu tiên đạt chứng chỉ bảo mật cao cấp GREM (GIAC Reverse Engineering Malware: Kỹ thuật dịch ngược mã độc) do học viện an ninh mạng SANS (Hoa Kỳ) chứng nhận. Đây là chứng chỉ bảo mật có độ khó cao.

Microsoft ghi nhận công sức của Trần Văn Khang trong việc phát hiện
các lỗ hổng trên ứng dụng Microsoft 365 Apps for Enterprise. Ảnh: T. Tuyền

Khang chia sẻ: “Những ghi nhận của cộng đồng bảo mật trong nước và quốc tế là nguồn động lực lớn để tôi tiếp tục cố gắng, cọ xát để có nhiều đóng góp giá trị hơn”.

Trong lĩnh vực an ninh mạng, việc tìm các lỗ hổng bảo mật “zeroday” được coi là đóng góp có ảnh hưởng lớn. Các hoạt động chủ động kiểm thử, tìm hiểu để phát hiện các lỗ hổng zeroday có vai trò quan trọng giúp các nhà sản xuất kịp thời cập nhật phiên bản mới, hoàn thiện tính bảo mật cho sản phẩm.

Vì tính nghiêm trọng, ảnh hưởng trên quy mô toàn cầu, các phát hiện lỗ hổng bảo mật được đăng tải trên hệ thống National Vulnerability Database (nvd.nist.gov) của viện tiêu chuẩn kỹ thuật quốc gia Hoa Kỳ (NIST).

Mỹ Thạch

Có thể bạn quan tâm: