Cập nhật bản vá lỗ hổng bảo mật tháng 6/2018

09:00 | 23/07/2018 | TIN TỨC SẢN PHẨM

Trong tháng 6, các công ty công nghệ lớn trên thế giới đã phát hành bản vá dành cho sản phẩm của mình. Cụ thể: Microsoft đã vá 50 lỗ hổng, Google vá 58 lỗ hổng, Apple phát hành bản cập nhật cho nhiều hệ điều hành và phần mềm.

Cập nhật bản vá lỗ hổng bảo mật tháng 6/2018

Microsoft

Ngày 12/6, Microsoft đã phát hành bản vá tháng 6 giải quyết 50 lỗ hổng, trong đó có 11 lỗ hổng được đánh giá nghiêm trọng và 39 lỗ hổng quan trọng. Các lỗ hổng này ảnh hưởng tới hệ điều hành Windows, các trình duyệt web (Internet Explorer, Edge), các phần mềm Office, Exchange, ChakraCore và chương trình Adobe Flash Player.

Đáng lưu ý là lỗ hổng thực thi mã từ xa trong DNSAPI.dll của dịch vụ phân giải tên miền (Domain Name System - DNS) được định danh CVE-2018-8225, gây ảnh hưởng đến các phiên bản từ Windows 7 trở lên và các phiên bản dành cho máy chủ. Lỗ hổng này tồn tại trong việc hệ điều hành Windows xử lý các phản hồi DNS. Từ đó, tin tặc có thể khai thác bằng cách gửi các phản hồi DNS lỗi từ một máy chủ DNS độc hại tới mục tiêu. Nếu khai thác thành công, kẻ tấn công có thể thực thi mã tùy ý với quyền tài khoản trên hệ thống cục bộ.

Trong số các lỗ hổng được vá, một số lỗ hổng đã bị công khai rộng rãi. Thứ nhất, lỗ hổng thực thi mã từ xa trong trình thông dịch của các ngôn ngữ scripting (Scripting Engine) có định danh CVE-2018-8267. Thứ hai, lỗ hổng remote memory-corruption trong công cụ rending của Internet Explorer, bị kích hoạt khi chương trình không xử lý đúng các đối tượng lỗi, cho phép kẻ tấn công thực thi mã tùy ý trong phạm vi người dùng hiện hành đang đăng nhập.

Ngoài ra, có một lỗ hổng bảo mật quan trọng trong Flash Player đã được xử lý định danh CVE-2018-5002. Đây là lỗi tràn bộ đệm dựa trên stack, có thể dẫn đến thực thi mã từ xa. Đáng chú ý, lỗ hổng này được báo cáo đang bị khai thác trong thực tế.

Google

Google đã phát hành bản vá cho Android vào ngày 01/6 với 38 lỗ hổng và ngày 05/6 với 20 lỗ hổng. Trong đó, các lỗ hổng quan trọng nhất liên quan đến nền tảng đa phương tiện, cho phép kẻ tấn công thực thi mã tùy ý bằng một tệp tin thủ công từ quá trình leo thang đặc quyền. Các lỗ hổng tương tự trong nền tảng và hệ thống của Android cũng được vá.

LG, Qualcomm, MediaTek và NVIDIA cũng cung cấp các bản vá quan trọng cho các hệ nhị phân đã phân loại (Assorted Binaries) trên tất cả các thiết bị Android. Đồng thời, Qualcomm và LG cũng vá lỗi trong bộ nạp khởi động (bootloader). Google cũng vá một số lỗi trên các thiết bị Pixel và Nexus.

Apple

Đầu tháng 6, Apple đã phát hành bản cập nhật cho các sản phẩm: hệ điều hành macOS High Sierra, Sierra, El Capitan, trình duyệt Safari, phần mềm iCloud, Safari trên... Trong đó, một số lỗ hổng có thể cho phép kẻ tấn công kiểm soát hệ thống bị ảnh hưởng.

Các lỗ hổng trong nhân của hệ điều hành macOS có thể cho phép kẻ tấn công có thể thực hiện tấn công từ chối dịch vụ từ một tài khoản đặc quyền. Ngoài ra, các lỗ hổng trong Messages và UIKiet có thể dẫn đến từ chối dịch vụ qua cách xử lý một thông báo độc hại được tạo thủ công.

Apple cũng phát hành bản cập nhật cho iOS, watchOS, iTunes và tvOS. Đồng thời, vá một lỗ hổng trong nhân iOS có thể cho phép kẻ tấn công thực thi mã tùy ý với các đặc quyền của nhân.

Thảo Uyên

‹ › ×

Tin liên quan

Thông tin cập nhật bản vá lỗ hổng bảo mật tháng 5/2018

13:00 | 11/06/2018

Trong tháng 5/2018, các hãng công nghệ Microsoft, Google, Apple đã lần lượt đưa ra các bản vá lỗ hổng bảo mật cho các sản phẩm của mình, xử lý nhiều lỗ hổng nghiêm trọng.

Cập nhật bản vá lỗ hổng bảo mật tháng 8/2018

10:00 | 11/09/2018

Trong tháng 8/2018, Microsoft đã phát hành Patch Tuesday giải quyết 60 lỗ hổng. Hãng công nghệ này tiếp tục đứng đầu trong việc phát hành nhiều nhất các bản vá lỗ hổng bảo mật.

Bản vá lỗ hổng Meltdown của Microsoft khiến Windows 7 trở nên kém an toàn hơn

08:00 | 11/04/2018

Mới đây, lỗ hổng Meltdown của CPU đã đặt người dùng vào sự nguy hiểm, nhưng Microsoft còn khiến tình hình càng xấu hơn với các máy tính chạy Windows 7, khi bản vá của hãng này đưa ra cho phép bất kỳ ứng dụng mức người dùng nào đọc nội dung và ghi dữ liệu vào bộ nhớ dành cho nhân của hệ điều hành.

Core Security Technologies công bố các bản vá về Secure Mail Gateway

10:00 | 13/02/2018

Công ty bảo mật Core Security đã đưa ra khuyến cáo về nhiều lỗ hổng đã được tìm thấy trong Secure Mail Gateway của Kaspersky Lab. Nếu chúng không được vá kịp thời có thể dẫn đến việc người dùng bị mất quyền sử dụng tài khoản quản trị.

Lỗ hổng Bluetooth cho phép theo dõi, điều khiển trao đổi dữ liệu trái phép

09:00 | 21/08/2018

Mới đây, các nhà nghiên cứu đã phát hiện một lỗ hổng quan trọng có thể cho phép kẻ tấn công theo dõi và điều khiển trao đổi dữ liệu giữa hai thiết bị đang sử dụng Bluetooth trong một phạm vi nhất định.

Tin cùng chuyên mục

28 ứng dụng chứa mã độc nhắm đến người dùng Android

10:00 | 10/04/2024

Các chuyên gia bảo mật vừa phát hiện 28 ứng dụng có chứa mã độc đã được cài đặt trên smartphone của hàng triệu người dùng. Nếu đã cài đặt một trong các ứng dụng này, hãy lập tức gỡ bỏ khỏi thiết bị.

Fortinet phát hành bản vá cho lỗ hổng thực thi mã từ xa

08:00 | 21/03/2024

Mới đây, Fortinet đã phát hành bản vá cho các lỗ hổng bảo mật. Trong đó, có 2 lỗ hổng nghiêm trọng dẫn đến việc thực thi mã từ xa có định danh CVE-2023-42789 và CVE-2023-48788.

Labhost - công cụ lừa đảo nhắm vào người dùng ngân hàng Canada

08:00 | 15/03/2024

Nền tảng Lừa đảo dưới dạng dịch vụ (PhaaS) Labhost đã và đang giúp tội phạm mạng nhắm mục tiêu vào các ngân hàng Bắc Mỹ, đặc biệt là các viện tài chính ở Canada.

Meta bị cáo buộc thu thập dữ liệu trẻ em và gây nghiện

08:00 | 29/11/2023

Theo tờ The New York Times, 33 tiểu bang của Mỹ đã đệ đơn kiện chống lại Meta, cáo buộc công ty này thu thập dữ liệu cá nhân của trẻ em và vi phạm chính sách độ tuổi sử dụng.