Microsoft
Microsoft đã phát hành bản vá Patch Tuesday tháng 10/2024 để giải quyết 118 lỗ hổng bảo mật, bao gồm 5 lỗ hổng zero-day, trong đó có 2 lỗ hổng đang bị khai thác tích cực trên thực tế.
Trong đó, bản vá Patch Tuesday đã khắc phục 28 lỗ hổng leo thang đặc quyền; 7 lỗ hổng vượt qua tính năng bảo mật (bypass); 43 lỗ hổng thực thi mã từ xa; 6 lỗ hổng tiết lộ thông tin; 26 lỗ hổng từ chối dịch vụ; 7 lỗ hổng giả mạo (spoofing); 01 lỗ hổng Tampering.
Ngoài ra, trong 43 lỗ hổng thực thi mã từ xa, có 3 lỗ hổng được đánh giá là nghiêm trọng. Microsoft cho biết các lỗ hổng được khắc phục trong bản vá lần này không bao gồm 3 lỗ hổng Edge đã xử lý trước đó vào ngày 3/10.
Đáng chú ý, lỗ hổng thực thi mã từ xa Microsoft Management Console với mã định danh CVE-2024-43572 đang bị khai thác tích cực. Lỗ hổng zero-day này cho phép các tệp Microsoft Saved Console (MSC) độc hại thực hiện lệnh thực thi mã từ xa trên các thiết bị dễ bị tấn công. Microsoft đã khắc phục lỗ hổng CVE-2024-43572 bằng cách ngăn không cho mở các tệp MSC không được tin tưởng.
Microsoft giải thích: “Bản vá tháng 10 sẽ ngăn chặn việc mở các tệp MSC không đáng tin cậy để bảo vệ khách hàng khỏi những rủi ro liên quan đến lỗ hổng bảo mật này”.
Adobe
Cũng trong tháng 10, Adobe đã phát hành bản vá để giải quyết 52 lỗ hổng bảo mật trong các sản phẩm Adobe Substance 3D Painter, Commerce, Dimension, Animate, Lightroom, InCopy, InDesign, Substance 3D Stager, và Adobe FrameMaker. Trong đó, có 32 lỗ hổng đánh giá với mức độ nghiêm trọng, 10 lỗ hổng quan trọng và 10 lỗ hổng xếp hạng trung bình.
Lỗ hổng với điểm CVSS cao nhất (9.8) mà hãng giải quyết lần này có mã định danh CVE-2024-45115, xảy ra trên sản phẩm Adobe Commerce phiên bản 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 và trước đó, có thể dẫn đến leo thang đặc quyền. Kẻ tấn công có thể khai thác lỗ hổng này để có được quyền truy cập trái phép hoặc các đặc quyền nâng cao trong ứng dụng. Việc khai thác lỗ hổng CVE-2024-45115 không yêu cầu tương tác của người dùng.
Không có lỗ hổng nào được báo cáo là đang bị tích cực khai thác hoặc đang được công bố công khai. Hãng khuyến cáo người dùng nhanh chóng cập nhật bản vá lần này để tránh những nguy cơ đáng tiếc.
SAP
Ở một động thái khác, SAP đã phát hành bản cập nhật để giải quyết 13 lỗ hổng bảo mật, trong đó có 6 lỗ hổng mới và 7 lỗ hổng được phát hành bổ sung so với bản cập nhật trước đó. Trong 13 lỗ hổng này, có 1 lỗ hổng xếp hạng mức độ nghiêm trọng, 3 lỗ hổng xếp hạng quan trọng và 9 lỗ hổng trung bình.
Lỗ hổng bảo mật nghiêm trọng với điểm CVSS (9.8) cao nhất mà hãng SAP giải quyết trong bản cập nhật lần này có định danh CVE-2024-41730. Lỗ hổng bảo mật này đã xuất hiện trong bản vá của 2 tháng trước và tiếp tục được cập nhật bổ sung trong bản vá lần này. Lỗ hổng tồn tại trên sản phẩm SAP BusinessObjects Business Intelligence Platform phiên bản ENTERPRISE 420, 430, 440, nếu Single Signed On được bật trên hệ thống xác thực Enterprise, kẻ tấn công có thể nhận được mã thông báo đăng nhập bằng cách sử dụng REST Endpoint. Kẻ tấn công có thể xâm phạm hoàn toàn hệ thống dẫn đến tác động cao đến tính bảo mật, tính toàn vẹn và tính khả dụng.
M.H
09:00 | 24/10/2024
16:00 | 09/10/2024
10:00 | 02/10/2024
13:00 | 25/10/2024
Báo cáo của Kaspersky về Bối cảnh an ninh mạng cho các hệ thống điều khiển công nghiệp (ICS) trong quý 2 năm 2024 cho thấy các cuộc tấn công bằng mã độc tống tiền tăng 20% so với quý trước. Báo cáo nhấn mạnh mối đe dọa ngày càng gia tăng đối với các lĩnh vực cơ sở hạ tầng quan trọng trên toàn thế giới, trong đó mã độc tống tiền (ransomware) và phần mềm gián điệp gây ra những rủi ro đáng kể nhất.
13:00 | 07/10/2024
Instagram đã ra mắt một bộ tính năng mới được thiết kế để đảm bảo an toàn cho thanh thiếu niên khi sử dụng nền tảng này. Bộ tính năng này như một lá chắn kỹ thuật số, bảo vệ người dùng trẻ khỏi các tin nhắn không mong muốn, nội dung không phù hợp và thời gian sử dụng quá mức.
11:00 | 03/09/2024
Google chính thức giới thiệu hai tính năng Gemini mới cho Gmail, tích hợp trí tuệ nhân tạo (AI) để hỗ trợ người dùng viết và chỉnh sửa email, cải thiện hiệu suất và chất lượng công việc.
09:00 | 29/08/2024
Ngày 23/8, Sở Thông tin & Truyền thông TP.HCM phối hợp cùng Hiệp hội An toàn thông tin (VNISA HCM) đã tổ chức thành công sự kiện Hội thảo và Triển lãm an toàn thông tin khu vực phía Nam 2024. Mi2 vinh dự được đồng hành cùng chương trình với cương vị là Nhà tài trợ Bạc cùng Trellix và Đồng tài trợ cùng Rapid7 mang đến những giải pháp bảo mật toàn diện trước tình hình tấn công phức tạp của Ransomware hiện đang là mối quan tâm cho các tổ chức, doanh nghiệp Việt Nam.
Ngày 31/10, tại Hà Nội, Viện Công nghệ Blockchain và Trí tuệ Nhân tạo ABAII (thành viên của Hiệp hội Blockchain Việt Nam) đã tổ chức Hội thảo “Blockchain và AI: Làm chủ công nghệ, làm chủ tương lai” trong khuôn khổ Triển lãm Quốc tế Điện tử và Thiết bị thông minh IEAE 2024, thu hút hơn 500 doanh nghiệp từ 50 quốc gia, hơn 20 trường đại học và gần 10.000 lượt khách tham dự.
07:00 | 01/11/2024