Phân loại lỗ hổng bảo mật phát hiện trong tháng 12/2023 theo mức độ
Với số lượng lỗ hổng không nhỏ, các hãng công nghệ như Microsoft, Apple và Adobe đã khẩn trương phát hành bản vá cho các sản phẩm của mình. Một số thông tin chi tiết như sau:
Microsoft
Trong tháng 12, Microsoft đã phát hành bản vá cho 37 lỗ hổng bảo mật, trong đó có 02 lỗ hổng bảo mật ở mức nghiêm trọng, 23 lỗ hổng ở mức cao, 12 lỗ hổng ở mức trung bình. Hai lỗ hổng bảo mật nghiêm trọng được vá là lỗ hổng có định danh CVE-2023-35618 và CVE-2023-36019.
Lỗ hổng CVE-2023-35618 có thể dẫn đến việc thoát khỏi sandbox của trình duyệt Microsoft Edge (Chromium-based). Kẻ tấn công khai thác thành công lỗ hổng này có thể thực hiện leo thang đặc quyền để tấn công thực thi mã từ xa.
Còn lỗ hổng CVE-2023-36019 tồn tại trên máy chủ web, nhưng các tập lệnh độc hại có thể thực thi trong trình duyệt của nạn nhân trên máy của họ. Kẻ tấn công có thể sử dụng một liên kết, ứng dụng hoặc tệp độc hại để ngụy trang nó thành một liên kết hoặc tệp hợp pháp nhằm lừa nạn nhân.
Apple
Cũng trong tháng 12, Apple đã phát hành 12 bản vá lỗ hổng bảo mật cho các sản phẩm của mình bao gồm: 04 bản vá lỗ hổng trên iOS và iPadOS, 04 bản vá lỗ hổng trên macOS, 02 bản vá lỗ hổng trên trình duyệt web Safari, bản vá lỗ hổng dành cho Apple Watch và Apple TV. Các bản vá này giải quyết nhiều lỗ hổng bảo mật, trong đó có 2 lỗ hổng ghi nhận đang bị khai thác tích cực trong thực tế là CVE-2023-42890 và CVE-2023-42910.
Thứ nhất là lỗ hổng CVE-2023-42890. Lỗ hổng này được tìm thấy trong WebKitGTK, tồn tại khi xử lý nội dung HTML độc hại trong WebKit. Việc xử lý nội dung web có thể dẫn đến hư hỏng bộ nhớ và thực thi mã tùy ý trên thiết bị của nạn nhân.
Thứ hai là CVE-2023-42910, khiến cho thiết bị khi xử lý tệp độc hại có thể dẫn đến việc chấm dứt ứng dụng không mong muốn hoặc cho phép kẻ tấn công thực thi mã tùy ý trên thiết bị của nạn nhân.
Adobe
Ở một động thái khác, Adobe đã phát hành 9 bản vá cho tổng cộng 212 lỗ hổng bảo mật trong các chương trình: Adobe Prelude, Illustrator, InDesign, Dimension, Experience Manager, Substance3D Stager, Substance3D Sampler, Substance3D After Effects và Substance3D Designer.
Đặc biệt, Adobe Experience Manager là ứng dụng tồn tại tới 185 lỗ hổng XSS ở mức độ cao. Bản cập nhật bảo mật của tháng 12 cũng thực hiện vá 13 lỗ hổng nghiêm trọng có thể dẫn đến việc thực thi mã tùy ý trong các chương trình khác của Adobe.
Đặng Vũ Hùng, Trung tâm CNTT&GSANM
09:00 | 03/10/2023
09:00 | 13/02/2024
15:00 | 15/11/2023
09:00 | 29/02/2024
10:00 | 03/08/2023
15:00 | 31/01/2024
10:00 | 10/04/2024
Các chuyên gia bảo mật vừa phát hiện 28 ứng dụng có chứa mã độc đã được cài đặt trên smartphone của hàng triệu người dùng. Nếu đã cài đặt một trong các ứng dụng này, hãy lập tức gỡ bỏ khỏi thiết bị.
16:00 | 13/03/2024
Ngày 12/3, gã khổng lồ công nghệ Microsoft phát hành bản vá bảo mật Patch Tuesday tháng 3 để giải quyết 60 lỗ hổng. Đáng lưu ý, trong đó có 18 lỗ hổng thực thi mã từ xa (RCE).
09:00 | 01/02/2024
Mới đây, Cisco đưa ra cảnh báo rằng một số sản phẩm Contact Center Solutions và Unified Communications Manager của hãng dễ gặp phải lỗ hổng thực thi mã từ xa ở mức độ nghiêm trọng.
08:00 | 12/01/2024
Mới đây, Microsoft cho biết sẽ tiếp tục vô hiệu hóa trình xử lý giao thức MSIX ms-appinstaller theo mặc định sau khi bị nhiều tác nhân đe dọa lạm dụng để phát tán phần mềm độc hại.
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024