Microsoft
Microsoft vừa phát hành bản vá cho 89 lỗ hổng trong các sản phẩm của mình. Trong đó có, 26 lỗ hổng nâng cao đặc quyền; 02 lỗ hổng bỏ qua tính năng bảo mật; 52 lỗ hổng thực thi mã từ xa; 01 lỗ hổng tiết lộ thông tin; 04 lỗ hổng từ chối dịch vụ và 03 lỗ hổng giả mạo. Microsoft cho biết các lỗ hổng được khắc phục trong bản vá lần này không bao gồm 02 lỗ hổng Edge đã được khắc phục trước đó vào ngày 7/11.
Đáng chú ý, lỗ hổng CVE-2024-43602 có điểm CVSS 9,9 là lỗ hổng nghiêm trọng nhất mà Microdoft giải quyết liên quan đến sự cố Azure CycleCloud Remote Code Execution. Kẻ tấn công có quyền người dùng cơ bản có thể khai thác Azure CycleCloud bằng cách gửi các yêu cầu được tạo sẵn để giành quyền truy cập gốc, cho phép thực thi lệnh trên các cụm và có khả năng xâm phạm thông tin xác thực của quản trị viên.
Adobe
Cũng trong tháng 11, Adobe đã phát hành bản vá để giải quyết 49 lỗ hổng bảo mật trong các sản phẩm Adobe Bridge, Audition, After Effects, Substance 3D Painter, Illustrator, InDesign, Photoshop và Commerce. Trong 49 lỗ hổng có 28 lỗ hổng xếp hạng mức độ nghiêm trọng và 21 lỗ hổng xếp hạng quan trọng.
Bản vá được phát hành lần này bao gồm bản vá của sản phẩm Adobe Commerce và Adobe Photoshop với 01 lỗ hổng bảo mật được giải quyết; bản vá của các sản phẩm Adobe Bridge và Adobe Audition giải quyết 02 lỗ hổng bảo mật. Tiếp theo là bản vá của sản phẩm Adobe After Effects và Adobe InDesign với 06 lỗ hổng bảo mật. Bản vá của sản phẩm Adobe Illustrator giải quyết 09 lỗ hổng bảo mật được giải quyết. Cuối cùng là bản vá lớn nhất của sản phẩm Substance 3D Painter giải quyết 22 lỗ hổng bảo mật.
Tất cả 28 lỗ hổng nghiêm trọng được giải quyết lần này nếu bị khai thác thành công đều dẫn đến việc kẻ tấn công có thể thực thi mã độc từ xa. Không có lỗ hổng nào được báo cáo là đang bị tích cực khai thác hoặc đang được công bố công khai. Hãng Adobe khuyến cáo người dùng nhanh chóng cập nhật bản vá để tránh những nguy cơ đáng tiếc.
SAP
Ở một động thái khác, SAP đã phát hành bản cập nhật để giải quyết 10 lỗ hổng bảo mật trong đó có 08 lỗ hổng mới và 02 lỗ hổng được phát hành bổ sung so với bản cập nhật phát hành trước đó. Trong 10 lỗ hổng này, có 02 lỗ hổng xếp hạng mức độ nghiêm trọng, 06 lỗ hổng xếp hạng quan trọng và 02 lỗ hổng xếp hạng trung bình.
Lỗ hổng bảo mật nghiêm trọng với điểm CVSS cao nhất mà hãng SAP giải quyết trong bản cập nhật lần này định danh CVE-2024-47590 với 8,8 điểm CVSS. Đây là lỗ hổng XSS xảy ra trên sản phẩm SAP Web Dispatcher. Khi nạn nhân đã xác thực nhấp vào liên kết độc hại được chế tạo bởi kẻ tấn công chưa xác thực, dữ liệu sẽ được xử lý bởi trình duyệt của nạn nhân hoặc được truyền đến máy chủ khác để tạo nội dung của trang web. Lúc này, kẻ tấn cống có thể khai thác để thực thi mã tùy ý trên máy chủ, xâm phạm tính bảo mật, tính toàn vẹn và tính khả dụng.
Huyền Châm
16:00 | 30/10/2024
16:00 | 22/01/2025
09:00 | 24/10/2024
15:00 | 02/01/2025
16:00 | 09/10/2024
15:00 | 25/12/2024
Ngày 20/12/2024, tại TP. Hồ Chí Minh, một trong những sự kiện công nghệ được mong đợi nhất trong năm HPT D-Day 2024 với chủ đề “Hợp tác hướng đến tương lai” đã diễn ra thành công tốt đẹp.
15:00 | 12/12/2024
Sáng ngày 12/12/2024 tại Hà Nội, dưới sự bảo trợ của Bộ Thông tin và Truyền thông, Hiệp hội An toàn thông tin Việt Nam phối hợp cùng Cục An toàn thông tin tổ chức lễ công bố và trao tặng danh hiệu "Chìa khóa vàng 2024". Chương trình nhằm vinh danh các doanh nghiệp hoạt động trong lĩnh vực an toàn thông tin đã có nhiều nỗ lực, từng bước khẳng định những ưu thế về chất lượng và khả năng đáp ứng thị trường của sản phẩm, dịch vụ an toàn thông tin Việt Nam.
10:00 | 20/11/2024
Theo tài liệu thực thi pháp luật gửi đến lãnh đạo các cơ quan hành pháp, cảnh sát và các chuyên gia pháp y trên khắp nước Mỹ do 404Media thu thập được, những chiếc iPhone được bảo quản an toàn vẫn có thể tự khởi động lại, gây khó khăn cho việc điều tra và thu thập chứng cứ.
07:00 | 07/11/2024
Cisco đã vá một lỗ hổng bị khai thác trong phần mềm Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) mà kẻ tấn công sử dụng để tấn công từ chối dịch vụ (DoS).
Theo báo cáo bảo mật Android 2024 được Google công bố cuối tháng 1/2025 cho thấy hãng đã chặn 2,36 triệu ứng dụng vi phạm chính sách trước khi chúng được phát hành trên Play Store, cấm hơn 158.000 tài khoản của các nhà phát triển cố gắng phát hành ứng dụng có hại.
10:00 | 13/02/2025