Microsoft
Ngày 9/7, gã khổng lồ công nghệ Microsoft phát hành bản vá Patch Tuesday để giải quyết 142 lỗ hổng bảo mật. Đáng lưu ý, trong số các lỗ hổng được vá, có 4 lỗ hổng Zero Day đang bị khai thác tích cực trong thực tế.
Bản vá Patch Tuesday tháng 7 khắc phục 142 lỗ hổng bảo mật, với 5 lỗ hổng được đánh giá nghiêm trọng. Danh sách các lỗ hổng được khắc phục trong bản cập nhật này gồm có: 26 lỗ hổng leo thang đặc quyền; 24 lỗ hổng vượt qua các tính năng bảo mật (Bypass); 59 lỗ hổng thực thi mã từ xa (RCE); 9 lỗ hổng tiết lộ thông tin (Information Disclosure); 17 lỗ hổng từ chối dịch vụ (DoS) và 7 lỗ hổng cho phép tấn công giả mạo (Spoofing).
Đáng lưu ý, có 2 lỗ hổng zero-day đang được khai thác tích cực trong thực tế.
Thứ nhất, lỗ hổng nâng cao đặc quyền của Windows Hyper-V CVE-2024-38080. Nếu khai thác thành công, kẻ tấn công sẽ có được đặc quyền hệ thống. Mặc dù, Microsoft tuyên bố rằng lỗ hổng này đang bị khai thác, nhưng hãng không chia sẻ thông tin chi tiết về lỗ hổng, bao gồm cả việc ai là người phát hiện ra nó.
Thứ hai, lỗ hổng Spoofing trên nền tảng MSHTML CVE-2024-38112. Để khai thác thành công lỗ hổng này, kẻ tấn công phải gửi cho nạn nhân một tệp tin độc hại để thực thi, từ đó quá trình lây nhiễm sẽ được diễn ra. Hiện nay, Microsoft không chia sẻ thêm bất kỳ thông tin chi tiết nào về cách khai thác lỗ hổng này, ngoại trừ việc lỗ hổng được nhà nghiên cứu bảo mật Haifei Li tiết lộ với hãng bảo mật Check Point.
Hai lỗ hổng Zero Day khác bị tiết lộ công khai là CVE-2024-35264 (Lỗ hổng RCE .NET và Visual Studio) và CVE-2024-37985 (Lỗ hổng tấn công kênh kề).
Adobe
Cũng trong tháng 7, Adobe đã phát hành bản vá để giải quyết 7 lỗ hổng bảo mật trong các sản phẩm Adobe Premiere Pro, InDesign và Adobe Bridge. Trong đó, có 6 lỗ hổng xếp hạng nghiêm trọng và 1 lỗ hổng xếp hạng quan trọng.
Bản vá cho sản phẩm InDesign là lớn nhất với việc giải quyết 4 lỗ hổng bảo mật, tiếp đó là bản vá của sản phẩm Adobe Bridge cho 2 lỗ hổng bảo mật và Adobe Premiere Pro với 1 lỗ hổng. Toàn bộ 6 lỗ hổng bảo mật nghiêm trọng được vá lần này nếu bị tin tặc khai thác thành công sẽ dẫn đến lỗi thực thi mã tùy ý.
May mắn, không có lỗ hổng nào được báo cáo là đang bị tích cực khai thác hoặc bị công khai. Hãng khuyến cáo người dùng nhanh chóng cập nhật bản vá lần này để tránh những nguy cơ đáng tiếc.
SAP
Ở một động thái khác, SAP đã phát hành bản cập nhật để giải quyết 18 lỗ hổng bảo mật. Trong đó, có 2 lỗ hổng xếp hạng mức độ nghiêm trọng, 15 lỗ hổng quan trọng và 1 lỗ hổng trung bình.
Lỗ hổng bảo mật nghiêm trọng với điểm CVSS cao nhất mà hãng SAP giải quyết trong bản cập nhật lần này là lỗ hổng leo thang đặc quyền định danh CVE-2024-39592, tồn tại trên sản phẩm SAP PDCE. Nếu bị khai thác thành công, tin tặc có thể lấy được các thông tin nhạy cảm thông qua việc nâng cấp đặc quyền trong hệ thống.
Ngọc Long
16:00 | 24/07/2024
10:00 | 20/08/2024
08:00 | 17/07/2024
08:00 | 22/07/2024
08:00 | 26/08/2024
10:00 | 28/08/2024
09:00 | 15/08/2024
10:00 | 04/12/2024
Một cảnh báo khẩn cấp được đưa ra đối với 1,5 tỷ người dùng iPhone trên toàn cầu, sau khi các chuyên gia phát hiện một cuộc tấn công mạng nhắm vào tài khoản Apple ID.
13:00 | 03/12/2024
Một công ty viễn thông Anh vừa tung ra "vũ khí bí mật" chống lừa đảo mang tên "bà lão AI" khiến cho kẻ lừa đảo bị cuốn vào những câu chuyện dài vô tận.
10:00 | 21/11/2024
Sàn thương mại điện tử Amazon đã nhận được một số báo cáo về tình trạng mạo danh Amazon và nhân viên Amazon để thực hiện các hành vi lừa đảo, gây thiệt hại cho người tiêu dùng.
10:00 | 20/11/2024
Theo tài liệu thực thi pháp luật gửi đến lãnh đạo các cơ quan hành pháp, cảnh sát và các chuyên gia pháp y trên khắp nước Mỹ do 404Media thu thập được, những chiếc iPhone được bảo quản an toàn vẫn có thể tự khởi động lại, gây khó khăn cho việc điều tra và thu thập chứng cứ.
Ngày 16/01, tại Hội thảo Phát triển Trung tâm tài chính quốc tế tại Việt Nam tổ chức tại TP Đà Nẵng, Uỷ ban Nhân dân (UBND) TP Đà Nẵng cùng Hiệp hội Blockchain Việt Nam (VBA) đã ký Hợp tác Phát triển Trung tâm tài chính quốc tế tại TP Đà Nẵng.
15:00 | 23/01/2025