Cập nhật bản vá lỗ hổng bảo mật tháng 11/2021

16:00 | 03/12/2021 | TIN TỨC SẢN PHẨM

Trong tháng 11/2021, Microsoft, Adobe và SAP đã phát hành các bản cập nhật bảo mật cho các sản phẩm của mình. Người dùng cần khẩn trương cập nhật bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft

Trung tuần tháng 11, Microsoft đã phát hành bản vá cho 55 lỗ hổng trong Microsoft Windows, Windows Components, Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge (dựa trên Chromium), Exchange Server, Microsoft Office, Office Components, Windows Hyper-V, Windows Defender và Visual Studio. Trong đó, có 6 lỗ hổng nghiêm trọng và 49 lỗ hổng quan trọng.

Đáng chú ý, lỗ hổng đang bị tấn công CVE-2021-42292 có thể vượt qua tính năng bảo mật của trên Microsoft Excel thông qua việc người dùng truy cập một tệp tin độc hại.

Cùng với đó, một lỗ hổng khác cũng đang bị tấn công định danh CVE-2021-42321 trong Microsoft Exchange Server cho phép kẻ tấn công thực thi mã từ xa. Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Microsoft Exchange Server luôn là một mục tiêu ưu thích của các nhóm tấn công mạng vì vậy các đơn vị cần có kế hoạch cập nhập sớm các hệ thống bị ảnh hưởng.

Bản vá lần này cũng vá một lỗ hổng khác đang bị tấn công có định danh CVE-2021-26443 trong Microsoft Virtual Machine Bus (VMBus) cho phép kẻ tấn công thực thi mã từ xa.

Trong bản vá lần này, có 4 lỗ hổng được biết đến công khai. Hai lỗ hổng định danh CVE-2021-38631 và CVE-2021-41371 trong Microsoft Remote Desktop Protocol (RDP) ảnh hưởng từ Windows 7 đến Windows 11 và trên Windows Server 2008-2019, cho phép đối tượng tấn công có thể thu thập thông tin mật khẩu RDP của hệ thống dễ bị tấn công. Hai lỗ hổng bảo mật CVE-2021-43208, CVE-2021-43209 trong 3D Viewer cho phép đối tượng tấn công thực thi mã từ xa.

Adobe

Cập nhật bản vá lỗ hổng bảo mật tháng 11/2021

Trong tháng 11, Adobe phát hành bản vá sửa chữa 4 lỗ hổng trong Creative Cloud Desktop, InCopy và RoboHelp. Trong đó có 2 lỗ hổng nghiêm trọng và 2 lỗ hổng quan trọng.

Hai lỗ hổng nghiêm trọng khi khai thác thành công có thể khiến kẻ tấn công thực thi mã tuỳ ý. Đáng chú ý lỗ hổng nghiêm trọng định danh CVE-2021-42727 trong RoboHelp Server tồn tại do lỗi xác thực đầu vào trong quá trình duyệt thư mục, cho phép kẻ tấn công có thể gửi một yêu cầu HTTP được thiết kế có chủ đích, từ đó tuỳ ý đọc các tệp trên hệ thống.

May mắn, không có lỗ hổng nào bị công khai hoặc tấn công trước thời điểm phát hành bản vá.

SAP

Cũng trong tháng 11, SAP đã phát hành bản vá cho 7 lỗ hổng bảo mật. Trong đó, có 1 lỗ hổng nghiêm trọng, 2 lỗ hổng quan trọng và 4 lỗ hổng trung bình.

Lỗ hổng nghiêm trọng duy nhất có định danh CVE-2021-40501 có điểm CVSS: 9.6. Lỗ hổng tồn tại trong nhân SAP ABAP Platform phiên bản: 7.77, 7.81, 7.85, 7.86 do không kiểm tra những quyền đã cấp, dẫn đến vượt quyền đọc và sửa đổi dữ liệu.

Mai Hương

‹ › ×

Tin liên quan

Lỗ hổng đọc tệp trái phép chưa được vá ảnh hưởng đến hệ điều hành Microsoft Windows

10:00 | 21/12/2021

Microsoft đã phát hành bản vá không chính thức để khắc phục lỗ hổng bảo mật trên Windows, có thể cho phép tiết lộ thông tin và leo thang đặc quyền cục bộ (LPE) trên các hệ thống dễ bị tấn công.

Cập nhật bản vá lỗ hổng bảo mật tháng 12/2021

17:00 | 23/12/2021

Trung tuần tháng 12/2021, các bản cập nhật bảo nhật của các hãng công nghệ lớn như Microsoft, Adobe và Google đã được phát hành. Quản trị viên và người dùng cần lưu ý cập nhật các bản vá kịp thời để tránh các rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 10/2021

09:00 | 02/11/2021

Trung tuần tháng 10/2021, Microsoft, Adobe và Mozilla đã phát hành các bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Apple phát hành bản vá khẩn cấp cho iPhone và iPad

16:00 | 19/10/2021

Ngày 11/10, Apple đã phát hành một bản cập nhật bảo mật cho iPhone và iPad để giải quyết một lỗ hổng nghiêm trọng được cho rằng đang bị khai thác, có thể trở thành lỗ hổng zero-day thứ 17 mà Apple đã xử lý trong các sản phẩm đầu năm 2021.

Cập nhật bản vá lỗ hổng bảo mật tháng 1/2022

10:00 | 21/01/2022

Trung tuần tháng 01/2022, các bản cập nhật bảo mật của các hãng công nghệ lớn như Microsoft, Adobe và Mozilla đã được phát hành. Quản trị viên và người dùng cần lưu ý cập nhật các bản vá kịp thời để tránh các rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 02/2022

08:00 | 24/02/2022

Trong tháng 02/2022, Microsoft, Adobe và Mozilla đã phát hành bản cập nhật bảo mật cho các sản phẩm của mình. Người dùng cần khẩn trương cập nhật bản vá để phòng tránh rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 9/2020

10:00 | 07/10/2021

Trung tuần tháng 09/2021, các bản cập nhật bảo nhật của các hãng công nghệ lớn như Microsoft, Adobe và Apple đã được phát hành. Quản trị viên và người dùng cần lưu ý cập nhật các bản vá kịp thời để tránh các rủi ro mất an toàn thông tin.

Tin cùng chuyên mục

Người dùng Facebook bị xóa sạch các bài đăng

10:00 | 22/04/2024

Ngày 16/4, nhiều người dùng Facebook tại Việt Nam phản ánh về tình trạng không hiện thị các bài đăng trên trang cá nhân. Trong khi đó, nội dung vẫn được phân phối trên bảng tin bình thường.

Ba tính năng trên Android có thể bị tin tặc khai thác và cách thức bảo vệ an toàn

10:00 | 06/12/2023

Mặc dù Android là hệ điều hành phổ biến hiện nay, thế nhưng vẫn có một số tính năng có thể khiến điện thoại thông minh hoặc máy tính bảng của người dùng Android có nguy cơ bị lây nhiễm nghiêm trọng. Bài viết này đề cập đến ba tính năng trên Android có thể bị tin tặc khai thác khiến thiết bị dễ bị phần mềm độc hại tấn công, đồng thời đưa ra biện pháp giảm thiểu khi sử dụng chúng.

Nhóm chuyên gia Việt Nam vô địch cuộc thi tấn công mạng toàn cầu Pwn2Own Toronto 2023

12:00 | 31/10/2023

Theo chia sẻ của ông Trần Quang Hưng, Phó Cục trưởng Cục An toàn thông tin (Bộ TT&TT), vào tối ngày 27/10, nhóm chuyên gia đại diện Viettel Cyber Security đã giành ngôi vô địch tại cuộc thi tấn công mạng toàn cầu Pwn2Own, với số điểm tuyệt đối và giành giải thưởng 180.000 USD.

Tạo lập, khai thác và kết nối dữ liệu: Định hình tương lai ngành ngân hàng trong kỷ nguyên số

10:00 | 11/10/2023

Sáng ngày 06/10/2023, tại Hà Nội Mi2 JSC đã đồng hành và tham gia Hội thảo và Triển lãm quốc tế Smart Banking 2023 với chủ đề “Tạo lập, khai thác và kết nối dữ liệu: Định hình tương lai ngành ngân hàng trong kỷ nguyên số”. Sự kiện do Hiệp hội Ngân hàng Việt Nam và Tập đoàn IEC phối hợp tổ chức .