Microsoft
Ngày 13/8, Microsoft phát hành bản vá Patch Tuesday để giải quyết 89 lỗ hổng bảo mật, trong đó có 3 lỗ hổng zero-day đã được công bố công khai và 6 lỗ hổng zero-day đang bị khai thác tích cực.
Theo đó, bản vá Patch Tuesday tháng 8 đã khắc phục: 36 lỗ hổng leo thang đặc quyền; 4 lỗ hổng bỏ qua tính năng bảo mật; 28 lỗ hổng thực thi mã từ xa; 8 lỗ hổng tiết lộ thông tin; 6 lỗ hổng từ chối dịch vụ và 7 lỗ hổng giả mạo. Bên cạnh 9 lỗ hổng zero-day, bản vá tháng này cũng giải quyết 8 lỗ hổng nghiêm trọng cho phép leo thang đặc quyền, thực thi mã từ xa và tiết lộ thông tin.
Đáng chú ý, một lỗ hổng bỏ qua tính năng bảo mật Web của Windows Mark định danh CVE-2024-38213 cho phép kẻ tấn công tạo các tệp bỏ qua cảnh báo bảo mật Web của Windows Mark. Tính năng bảo mật này đã bị bỏ qua nhiều lần trong năm vì đây là mục tiêu hấp dẫn đối với các tác nhân đe dọa thực hiện các chiến dịch lừa đảo. Microsoft cho biết lỗ hổng này được Peter Girnus của tổ chức Zero Day Initiative của Trend Micro phát hiện ra nhưng không chia sẻ cách khai thác trong các cuộc tấn công.
Adobe
Cũng trong tháng 8, Adobe đã phát hành bản vá để giải quyết 71 lỗ hổng bảo mật trong các sản phẩm Adobe Illustrator. Dimension, Photoshop, InDesign, Acrobat và Reader, Bridge, Substance 3D Stager, Commerce, InCopy. Substance 3D Sampler và Substance 3D Designer. Trong 71 lỗ hổng có 35 lỗ hổng xếp hạng mức độ nghiêm trọng, 21 lỗ hổng xếp hạng quan trọng và 15 lỗ hổng xếp hạng trung bình.
Bản vá cho sản phẩm Commerce là lớn nhất với việc giải quyết 23 lỗ hổng bảo mật. Tiếp đó là bản vá của sản phẩm InDesign với 13 lỗ hổng bảo mật trong đó có nhiều lỗ hổng nghiêm trọng cho phép thực thi mã độc từ xa và Acrobat Reader với 12 lỗ hổng bảo mật. Các bản vá của sản phẩm Photoshop, Substance 3D Stager, InCopy và Substance 3D Designer đều giải quyết 1 lỗ hổng nghiêm trọng. Bản vá cho Illustrator giải quyết 7 lỗ hổng, trong đó phần lớn là lỗ hổng quan trọng. Bản vá Dimension giải quyết 3 lỗ hổng nghiêm trọng và 3 lỗ hổng quan trọng. Cuối cùng là bản vá của Bridge và Substance 3D Sampler với lần lượt là 3 và 4 lỗ hổng bảo mật được vá.
Lỗ hổng với điểm CVSS cao nhất 9,0 mà hãng giải quyết lần này có mã định danh CVE-2024-39397, tồn tại trên sản phẩm Commerce phiên bản 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9 và trước đó. Kẻ tấn công có thể khai thác lỗ hổng bằng cách tải lên các tệp độc hại và thực thi chúng trên máy chủ. Việc khai thác này không yêu cầu tương tác của người dùng nhưng độ phức tạp của cuộc tấn công cao.
May mắn, mkhông có lỗ hổng nào được báo cáo là đang bị tích cực khai thác hoặc đang được công bố công khai. Hãng khuyến cáo người dùng nhanh chóng cập nhật bản vá lần này để tránh những nguy cơ đáng tiếc.
SAP
Ở một động thái khác, SAP đã phát hành bản cập nhật để giải quyết 25 lỗ hổng bảo mật trong đó có 17 lỗ hổng mới và 8 lỗ hổng được phát hành bổ sung so với bản cập nhật phát hành cho tháng 7. Trong 25 lỗ hổng này, có 6 lỗ hổng xếp hạng mức độ nghiêm trọng và 19 lỗ hổng quan trọng.
Lỗ hổng bảo mật nghiêm trọng với điểm CVSS cao nhất mà hãng SAP giải quyết trong bản cập nhật lần này có mã định danh CVE-2024-39592 với 9,8 điểm CVSS. Lỗ hổng xuất hiện trên sản phẩm SAP BusinessObjects Business Intelligence Platform, nếu tính năng Single Signed On được bật trên hệ thống xác thực Enterprise, kẻ tấn công có thể nhận được mã thông báo đăng nhập bằng cách sử dụng REST Endpoint, từ đó xâm phạm hoàn toàn hệ thống.
Hãng SAP khuyến cáo người dùng hãy nhanh chóng cập nhật bản vá để tránh những rủi ro đáng tiếc.
Phương Anh
09:00 | 15/08/2024
14:00 | 05/08/2024
10:00 | 02/10/2024
16:00 | 13/09/2024
14:00 | 30/07/2024
15:00 | 17/12/2024
Chuyên gia Jon Bruner tại Lumafield (California) tiết lộ rằng: khi quét một đầu nối USB-C, họ phát hiện điều gì đó đáng ngờ bên trong sợi cáp. Qua hình ảnh quét CT, các kỹ sư trông thấy phần linh kiện bên trong của cáp đã bị can thiệp.
07:00 | 02/12/2024
Mới đây, công ty an ninh mạng LastPass tại Mỹ đưa ra cảnh báo đến người dùng về thủ đoạn lừa đảo giả mạo bộ phận hỗ trợ khách hàng, dụ dỗ người dùng tải về ứng dụng có chứa mã độc nhằm tấn công thiết bị, chiếm đoạt thông tin nhạy cảm của nạn nhân.
16:00 | 29/11/2024
Ngày 21/11, Bộ Thông tin và Truyền thông phối hợp với Hiệp hội An toàn thông tin Việt Nam (VNISA) và Cục An toàn thông tin tổ chức thành công Hội thảo - Triển lãm “Ngày An toàn thông tin Việt Nam 2024”. Công ty Mi2 đã đồng hành cùng chương trình với cương vị là Nhà tài trợ Bạc cùng Trellix mang đến những giải pháp bảo mật hệ thống thông tin trước tình hình tấn công có chủ đích APT cho các tổ chức, doanh nghiệp tại Việt Nam.
15:00 | 29/10/2024
Đầu tháng 10 vừa qua, Synopsys Software Integrity Group đã đánh dấu một bước ngoặt mới trong hành trình phát triển của mình với việc chính thức đổi tên thương hiệu thành Black Duck (Black Duck® Software, Inc.). Black Duck hứa hẹn sẽ mang đến những giải pháp bảo mật ứng dụng toàn diện, mạnh mẽ và đáng tin cậy, giúp các tổ chức và doanh nghiệp an toàn trên hành trình chuyển đổi số.
Theo báo cáo bảo mật Android 2024 được Google công bố cuối tháng 1/2025 cho thấy hãng đã chặn 2,36 triệu ứng dụng vi phạm chính sách trước khi chúng được phát hành trên Play Store, cấm hơn 158.000 tài khoản của các nhà phát triển cố gắng phát hành ứng dụng có hại.
10:00 | 13/02/2025