Microsoft
Trung tuần tháng 5, gã khổng lồ công nghệ Microsoft phát hành bản vá Patch Tuesday để giải quyết 61 lỗ hổng bảo mật, trong đó có: 17 lỗ hổng leo thang đặc quyền, 2 lỗ hổng vượt qua các tính năng bảo mật, 27 lỗ hổng RCE, 7 lỗ hổng tiết lộ thông tin, 3 lỗ hổng từ chối dịch vụ, 4 lỗ hổng cho phép tấn công giả mạo, 1 lỗ hổng XSS.
Đáng chú ý, vản vá Patch Tuesday tháng 5 đã xử lý 3 lỗ hổng zero-day, trong đó có 2 lỗ hổng bị khai thác tích cực:
Lỗ hổng bypass trên nền tảng Windows MSHTML định danh CVE-2024-30040
Để khai thác lỗ hổng này, các tác nhân đe dọa sẽ phải thuyết phục người dùng tải tệp độc hại vào hệ thống dễ bị tấn công, thông qua gửi email hoặc tin nhắn tức thời (Instant Messenger), sau đó thuyết phục người dùng thực hiện các thao tác đối với với tệp độc hại này.
“Kẻ tấn công không được xác thực khi khai thác thành công lỗ hổng CVE-2024-30040 có thể thực thi mã thông qua việc cố gắng thuyết phục người dùng mở một tệp tài liệu độc hại. Tại thời điểm đó, kẻ tấn công có thể thực thi mã tùy ý trong ngữ cảnh của người dùng”, Micrsoft giải thích.
Hiện chưa rõ lỗ hổng này đã bị lạm dụng như thế nào trong các cuộc tấn công hay nhà nghiên cứu nào đã phát hiện ra nó.
Lỗ hổng leo thang đặc quyền trong thư viện Windows DWM Core định danh CVE-2024-30051
Microsoft đã xử lý lỗ hổng CVE-2024-30051 tồn tại trong thư viện Windows DWM Core đang được khai thác tích cực để giành được các đặc quyền hệ thống SYSTEM. Kaspersky cho biết các cuộc tấn công lừa đảo bằng phần mềm độc hại Qakbot gần đây đã sử dụng các tệp tài liệu độc hại để khai thác lỗ hổng CVE-2024-30051 và giành được các đặc quyền SYSTEM trên thiết bị Windows.
Adobe
Cũng trong tháng 5, Adobe đã phát hành bản vá để giải quyết 37 lỗ hổng bảo mật trong các sản phẩm Adobe Acrobat and Reader, Illustrator, Substance3D Painter, Adobe Aero, Substance3D Designer, Adobe Animate, FrameMaker, và Dreamweaver. Trong 37 lỗ hổng có 26 lỗ hổng xếp hạng mức độ nghiêm trọng, 10 lỗ hổng xếp hạng mức độ quan trọng và 1 lỗ hổng xếp hạng trung bình.
Ở bản cập nhật lần này, hãng Adobe tập trung vào vá các lỗ hổng bảo mật cho sản phẩm Reader, một sản phẩm được sử dụng rộng rãi. Với rất nhiều lỗ hổng được xếp hạng nghiêm trọng và thường xuyên bị tin tặc khai thác lợi dụng như CVE-2024-30284, CVE-2024-34094, CVE-2024-34095, CVE-2024-34096, CVE-2024-34097 đều bị khai thác lỗi User-After-Free. Nếu bị lợi dụng, tin tặc có thể thực thi các mã độc tùy ý.
Mặc dù không có lỗ hổng nào được báo cáo là đang bị tích cực khai thác nhưng có một số lỗ hổng bảo mật của sản phẩm Reader bị đánh giá là có nguy cơ cao sẽ bị khai thác. Nhà cung cấp Adobe khuyến cáo người dùng nhanh chóng cập nhật bản vá để tránh bị tin tặc khai thác các lỗ hổng bảo mật trên các sản phẩm của mình.
Apple
Ở một động thái khác, Apple đã phát hành bản vá cho hệ điều hành macOS, ipadOS và iOS. Đáng chú ý, lỗ hổng bảo mật định danh CVE-2024-23296 trên các phiên bản iOS 16.7.8 và ipadOS 16.7.8, lỗ hổng này khai thác một sự cố trong bộ nhớ của thành phần RTKit của hệ điều hành, có thể cho phép kẻ tấn công bỏ qua các biện pháp bảo vệ bộ nhớ của nhân hệ điều hành. Lỗ hổng này đang được báo cáo là đang bị tích cực khai thác. Vì vậy, để bảo vệ các thiết bị đang sử dụng các hệ điều hành bị ảnh hưởng, Appple khuyến cáo người dùng hãy nhanh chóng cập nhật bản vá.
Thu Hà
13:00 | 06/06/2024
13:00 | 17/06/2024
13:00 | 17/06/2024
08:00 | 11/07/2024
10:00 | 17/05/2024
16:00 | 12/06/2024
14:00 | 23/05/2024
14:00 | 04/05/2024
09:00 | 08/10/2024
Sau khi bị tin tặc làm rò rỉ trực tuyến hơn 1 terabyte dữ liệu, Walt Disney có kế hoạch chuyển đổi ngừng sử dụng Slack - thuộc sở hữu của Salesforce, làm ứng dụng nhắn tin và làm việc nhóm tại nơi làm việc của toàn công ty.
14:00 | 31/07/2024
Các chuyên gia vừa phát hiện, một lỗ hổng zero-day có tên EvilVideo trên Telegram cho phép kẻ tấn công gửi tệp APK độc hại dưới dạng video tới người dùng Android.
13:00 | 17/06/2024
Google vừa phát hành các bản vá để giải quyết một lỗ hổng bảo mật nghiêm trọng trong trình duyệt Chrome bị khai thác thực tế. Đây là lỗ hổng type confusion có mã định danh CVE-2024-5274 trong JavaScript và WebAssembly V8.
15:00 | 07/06/2024
DataTrust - Nền tảng tuân thủ bảo vệ dữ liệu cá nhân đầu tiên tại Việt Nam vừa được giới thiệu tại hội thảo“Xây dựng chính sách bảo vệ dữ liệu cá nhân”do Bộ Công an tổ chức. Nền tảng DataTrust được phát triển bởi Công ty cổ phần An ninh dữ liệu Việt Nam (VNDS), đơn vị phát triển và cung cấp các dịch vụ - giải pháp tổng thể, toàn diện về bảo vệ dữ liệu cá nhân.
Sự kiện Security Bootcamp 2024 diễn ra trong hai ngày 28 - 29/9 đã thu hút sự tham gia của đông đảo các chuyên gia, kỹ sư an ninh mạng hàng đầu và các lãnh đạo tổ chức, doanh nghiệp. Trong vai trò nhà tài trợ Bạc, Trellix cùng đồng tài trợ Mi2 JSC đã mang đến sự kiện những giải pháp bảo mật hiệu quả, tận dụng tối đa tiềm năng của AI trong bối cảnh trí tuệ nhân tạo đang phát triển như vũ bão.
16:00 | 04/10/2024