Microsoft
Ngày 11/9/2018, Microsoft đã phát hành bản vá Patch Tuesday tháng 9. Trong đó bao gồm 61 bản sửa lỗi cho 17 lỗ hổng nghiêm trọng, 43 lỗ hổng quan trọng và 01 lỗ hổng trung bình. Các lỗ hổng ảnh hưởng đến các trình duyệt (Internet Explorer, Edge), Hyper-V, các thành phần Windows, phần mềm Office và trình thực thi ngôn ngữ JavaScript ChakraCore của Microsoft.
Trong số 61 lỗ hổng, 17 lỗ hổng nghiêm trọng đều là lỗi thực thi mã từ xa. Đáng chú ý, lỗ hổng leo thang đặc quyền trong hệ điều hành Windows được đánh giá là nghiêm trọng. Lỗ hổng có định danh CVE-2018-8440 có thể cho phép kẻ tấn công khai thác một điểm yếu trong chức năng gọi thủ tục cục bộ nâng cao (Advanced Local Procedure Call) của trình sắp xếp thời gian các nhiệm vụ trong Windows (Windows Task Scheduler) và chạy mã tùy ý trên hệ thống đích. Thông tin chi tiết về lỗ hổng này đã được tiết lộ vào cuối tháng 8/2018 trên Twitter bởi nhà nghiên cứu có tên người dùng @SandboxEscaper. Sau đó, lỗ hổng được sử dụng trong một chiến dịch lây lan mã độc của nhóm tội phạm mạng có tên PowerPool.
03 lỗ hổng khác cũng đã bị công khai, bao gồm CVE-2018-8475, CVE-2018-8457 và CVE-2018-8409. Trong đó, lỗ hổng CVE-2018-8475 được đánh giá nghiêm trọng, là lỗ hổng thực thi mã từ xa trong thành phần đồ họa của Windows (Windows Graphics Component), cho phép tin tặc tấn công một hệ thống một cách đơn giản thông qua việc cho người dùng xem một tệp tin hình ảnh.
Hai lỗ hổng còn lại là CVE-2018-8457, lỗ hổng tham nhũng bộ nhớ trong trình thực thi lệnh được đánh giá nghiêm trọng và CVE-2018-8409, lỗ hổng từ chối dịch vụ trong System.IO.Pipelines.
Theo Microsoft, 3 lỗ hổng này chưa bị khai thác trong thực tế nhưng đều được Microsoft đưa vào danh mục “đã bị công khai”, yêu cầu người dùng cài đặt bản vá ngay lập tức.
Adobe cũng đưa ra bản vá với định danh ADV180023 hay CVE-2018-15967. Đây là bản vá cho lỗ hổng Flash Player được đánh giá quan trọng, có định danh APSB18-31, ảnh hưởng đến chương trình Adobe Flash Player và các plug-in cho Chrome, Firefox, Edge và Internet Explorer 11.
Trong tháng 9/2018, Google đã phát hành bản cập nhật giải quyết 59 lỗ hổng bảo mật cho Android, cụ thể là 24 lỗ hổng trong ngày 01/9 và 35 lỗ hổng trong ngày 05/9.
Trong số các lỗ hổng này, nghiêm trọng nhất là lỗ hổng bảo mật trong Nền tảng Đa phương tiện (Media Framework), cho phép kẻ tấn công thực thi mã tùy ý từ xa bằng cách sử dụng một tệp tin tự tạo trong phạm vi một quy trình đặc quyền. Ngoài ra, bản vá cho lỗ hổng này cũng khắc phục lỗ hổng trong Nền tảng Chạy chương trình (Runtime Framework) và thư viện. Theo Google, các lỗ hổng này chưa bị báo cáo là đã bị khai thác trong thực tế.
Apple
Tháng 9/2018, Apple đã phát hành nhiều bản cập nhật cho các sản phẩm, bao gồm iTunes 12.9 cho Windows (12/9); iOS 12, tvOS 12, watchOS 5, Safari 12, Apple Support 2.4 cho iOS, Xcode 10 (17/9); macOS Mojave 10.14 (24/9).
Bản cập nhật Mojave ngày 24/9 đã giải quyết nhiều lỗ hổng bảo mật, bao gồm 02 lỗ hổng thực thi mã từ xa trong nhân (CVE-2018-4336, CVE-2018-4344), lỗ hổng mã hóa RC4 (CVE-2016-1777), lỗ hổng chặn bắt lưu lượng trong Bluetooth (CVE-2018-5383), lỗ hổng thoát khỏi sandbox trong tường lửa (CVE-2018-4353), lỗ hổng truy cập bộ nhớ hạn chế trong Crash Reporter (CVE-2018-4333) và các lỗ hổng trong Tự động Mở khóa (Auto Unlock) (CVE-2018-4321) và Cửa hàng Ứng dụng (App Store) (CVE-2018-4324) cho phép kẻ tấn công truy cập vào ID Apple của người dùng.
Thảo Uyên
10:00 | 11/09/2018
10:00 | 01/11/2018
23:00 | 28/11/2018
09:00 | 23/07/2018
13:00 | 11/06/2018
15:00 | 24/12/2018
13:00 | 05/04/2024
Các nhà phát triển ví tiền điện tử Leather cảnh báo về một ứng dụng giả mạo trên Apple App Store. Nguyên nhân bởi nhiều người dùng đã báo cáo rằng họ bị mất tiền sau khi nhập chuỗi bí mật vào ví Leather giả.
15:00 | 01/03/2024
Microsoft đã phát triển Python Risk Identification Tool (PyRIT) như một công cụ hỗ trợ quan trọng cho các đội ngũ Red Teaming trong việc đánh giá và phát hiện rủi ro trong hệ thống AI tạo sinh.
08:00 | 01/03/2024
Google đã trả hơn 10 triệu USD cho 632 nhà nghiên cứu phát hiện lỗ hổng bảo mật trong chương trình Săn lỗi nhận thưởng của trong năm 2023.
09:00 | 29/02/2024
Trong tháng 02/2024, Microsoft, Adobe và Dell lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
Là một trong những nhà cung cấp các sản phẩm và giải pháp an ninh mạng đầu tiên ký cam kết Bảo mật theo Thiết kế của Cơ quan An ninh mạng và Cơ sở hạ tầng An ninh Nội địa (CISA) của Mỹ, Fortinet tiếp tục củng cố cam kết duy trì văn hóa minh bạch triệt để và chịu trách nhiệm với an ninh của các tổ chức, doanh nghiệp, luôn xem đây là ưu tiên hàng đầu của hãng.
09:00 | 15/05/2024