Cập nhật bản vá lỗ hổng bảo mật tháng 4

14:00 | 04/05/2024 | TIN TỨC SẢN PHẨM

Trong tháng 4/2024, Microsoft, Adobe và SAP lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft

Trung tuần tháng 4, Microsoft đã phát hành bản vá để giải quyết 150 lỗ hổng bảo mật trong các sản phẩm Microsoft Windows và Windows Components; Office và Office Components; Azure; .NET Framework và Visual Studio; SQL Server; DNS Server; Windows Defender; Bitlocker và Windows Secure Boot. Đây là bản cập nhật lớn nhất của Microsoft trong năm nay và cũng là lớn nhất kể từ năm 2017. Trong đó, có 31 lỗ hổng nâng cao đặc quyền, 29 lỗ hổng bỏ qua tính năng bảo mật, 67 lỗ hổng thực thi mã từ xa, 13 lỗ hổng tiết lộ thông tin, 7 lỗ hổng từ chối dịch vụ, 3 lỗ hổng giả mạo.

Đáng chú ý lỗ hổng định danh CVE-2024-29988, mặc dù được xếp hạng quan trọng nhưng lại được đánh điểm CVSS khá cao (8.8 điểm). Các nhà nghiên cứu có chứng cứ chỉ ra rằng lỗ hổng này đang tồn tại phổ biến cũng như bị tích cực khai thác, nhưng hãng Microsoft vẫn phủ nhận điều này. Lỗ hổng CVE-2024-29988 nếu được khai thác thành công sẽ cho phép tin tặc bỏ qua tính năng Mark of the Webs (MotW) và thực hiện các mã độc hại trên hệ thống mục tiêu.

Nhà cung cấp Microsoft khuyến cáo người dùng nhanh chóng cập nhật bản vá này để tránh bị tin tặc khai thác các lỗ hổng bảo mật trên các sản phẩm của mình.

Adobe

Tháng 4, Adobe đã phát hành bản vá để giải quyết 27 lỗ hổng bảo mật trong các sản phẩm Adobe After Effects, Photoshop, Commerce, InDesign, Experience Manager, Media Encoder, Bridge, Illustrator và Adobe Animate. Trong 27 lỗ hổng có 8 lỗ hổng xếp hạng nghiêm trọng và 19 lỗ hổng xếp hạng quan trọng.

Đáng chú ý, lỗ hổng định danh CVE-2024-20759 được đánh giá 8 điểm CVSS ở sản phẩm Adobe Commerce phiên bản 2.4.6-p4, 2.4.5-p6, 2.4.4-p7, 2.4.7-beta3. Đây là lỗ hổng loại Cross-Site Scripting, cho phép kẻ tấn công khi ở đặc quyền cao có thể đưa các tệp lệnh độc hại vào các trường dễ bị tấn công trong nội dung của trang web. Khi người dùng truy cập vào các trang web này, các tệp lệnh độc hại có thể được thực thi trong trình duyệt web. May mắn, không có lỗ hổng nào được báo cáo là được công bố công khai hoặc đang bị tích cực khai thác tại thời điểm phát hành bản vá.

SAP

Ở một động thái khác, SAP đã phát hành bản tháng 4 để giải quyết 12 lỗ hổng cho các sản phẩm của mình. Trong đó có 3 lỗ hổng nghiêm trọng và 9 lỗ hổng quan trọng.

Lỗ hổng bảo mật nghiêm trọng với điểm CVSS cao nhất được vá lần này có mã định danh CVE-2024-27899. Lỗ hổng này khai thác việc thiếu các yêu cầu bảo mật cần thiết cho chức năng “Tự đăng ký” và “Thay đổi profile” của ứng dụng quản trị người dùng của sản phẩm NetWeaver AS Java. Do vậy nếu bị tấn công, nó sẽ tác động sâu đến tính bảo mật của hệ thống. Để giảm thiểu các nguy cơ tiềm ẩn, SAP khuyến cáo người dùng áp dụng bản cập nhật càng sớm càng tốt.

M.H

‹ › ×

Tin liên quan

Microsoft phát hành bản vá Patch Tuesday cho 150 lỗ hổng bảo mật

07:00 | 12/04/2024

Ngày 9/4, Microsoft phát hành bản vá Patch Tuesday để giải quyết 150 lỗ hổng bảo mật. Trong đó, có 3 lỗ hổng nghiêm trọng, 67 lỗ hổng thực thi mã từ xa, hơn một nửa số lỗ hổng RCE được phát hiện tồn tại trong các driver Microsoft SQL.

Cảnh báo nhiều lỗ hổng bảo mật thông tin cá nhân trong thời đại chuyển đổi số

10:00 | 13/05/2024

Trong thời đại công nghệ số hiện nay, lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công mạng. Do đó, việc nâng cao hiểu biết và nhận thức về các mối đe dọa mạng ngày càng cần thiết. Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao thế giới, thế nhưng vấn đề bảo vệ dữ liệu cá nhân vẫn còn gặp nhiều bất cập trong xu thế toàn cầu hóa về chuyển đổi số. Bài báo sẽ thông tin tới độc giả thực trạng mối đe dọa về lỗ hổng bảo mật; một số lỗ hổng phổ biến; phương thức, thủ đoạn khai thác, nguyên nhân xuất hiện lỗ hổng bảo mật, từ đó đưa ra những giải pháp phòng chống và ngăn chặn.

Synology phát hành bản vá cho các lỗ hổng nghiêm trọng

09:00 | 03/04/2024

Mới đây, công ty Synology (Đài Loan) đã giải quyết các lỗ hổng nghiêm trọng trong các phiên bản phần mềm Surveillance Station DSM 7.2, DSM 7.1 và DSM 6.2. Các lỗ hổng này có thể gây ra việc mất dữ liệu, mất kiểm soát hệ thống và gián đoạn dịch vụ quan trọng.

Microsoft phát hành bản vá Patch Tuesday khắc phục 61 lỗ hổng bảo mật

10:00 | 17/05/2024

Ngày 14/5, gã khổng lồ công nghệ Microsoft phát hành bản vá Patch Tuesday để giải quyết 61 lỗ hổng bảo mật, trong đó có 3 lỗ hổng zero-day đang được khai thác tích cực trên thực tế.

Cập nhật bản vá lỗ hổng bảo mật tháng 3

07:00 | 29/03/2024

Trong tháng 3/2024, Microsoft, Adobe và Google lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Tin cùng chuyên mục

OpenAI sắp ra mắt công cụ tìm kiếm AI cạnh tranh với Google

10:00 | 16/05/2024

Các hãng tin Bloomberg và Information đưa tin OpenAI đang có kế hoạch công bố một công cụ tìm kiếm “siêu mạnh” dựa trên trí tuệ nhân tạo (AI) với tham vọng có thể lật đổ “đế chế” Google trong lĩnh vực tìm kiếm.

Oracle đầu tư 1.200 tỷ Yen để mở rộng các trung tâm dữ liệu tại Nhật Bản

10:00 | 26/04/2024

Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.

Atlassian phát hành bản vá cho hơn 20 lỗ hổng

14:00 | 26/03/2024

Công ty sản xuất phần mềm Atlassian (Úc) phát hành các bản vá bảo mật để giải quyết hơn 20 lỗ hổng, bao gồm một lỗ hổng nghiêm trọng ảnh hưởng đến Data Center và máy chủ Bamboo, có thể bị khai thác mà không cần sự tương tác của người dùng.

Cập nhật bản vá lỗ hổng bảo mật tháng 02

09:00 | 29/02/2024

Trong tháng 02/2024, Microsoft, Adobe và Dell lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.