Cập nhật bản vá lỗ hổng bảo mật tháng 5/2023

16:00 | 25/05/2023 | TIN TỨC SẢN PHẨM

Trong tháng 5, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft

Cập nhật bản vá lỗ hổng bảo mật tháng 5/2023

Trung tuần tháng 5, Microsoft đã phát hành bản cho 38 lỗ hổng bảo mật trong các sản phẩm Microsoft Window và Microsoft Component; Office và Office Component; Visual Studio, Microsoft Edge (Chromium-based); SharePoint Server; SysInternals và Microsoft Teams. Trong đó, có 7 lỗ hổng xếp hạng nghiêm trọng và 31 lỗ hổng xếp hạng quan trọng.

Trong bản vá lần này có lỗ hổng nghiêm trọng định danh CVE-2023-24941 đang bị tích cực khai thác. Lỗ hổng với điểm CVSS 9.8 này cho phép kẻ tấn công có thể thực thi mã độc tùy ý với các quyền nâng cao mà không cần xác thực cũng như các thao tác người dùng. Lỗ hổng này tồn tại từ phiên bản tệp tin hệ thống mạng (NFS) 4.1 của Window. Microsoft khuyến cáo khách hàng nên cập nhật bản vá sớm nhất để tránh các rủi ro đáng tiếc.

Một lỗ hổng đáng chú ý khác định danh CVE-2023-29325 nhắm đến mục tiêu là sản phẩm Microsoft Outlook. Lỗ hổng cho phép kẻ tấn công có khả năng thực thi mã độc tùy ý trên hệ thống bị ảnh hưởng bằng cách gửi đến hệ thống đó một email có định dạng RTF được chế tạo đặc biệt. Vì hướng tấn công của lỗ hổng này là thành phần Preview Pane của Outlook cho nên hệ thống có thể bị tấn công ngay cả khi người dùng chưa đọc email RTF. Microsoft cũng nhận định, mặc dù Outlook là hướng khai thác chính của lỗ hổng này nhưng các ứng dụng Office khác cũng có thể bị ảnh hưởng. Hãng đã cố gắng cung cấp các giải pháp thay thế nhưng để an toàn nhất người dùng nên nhanh chóng cài đặt bản vá này.

Adobe

Cũng trong tháng 5, Adobe đã phát hành bản vá cho 14 lỗ hổng bảo mật của sản phẩm Substance 3D Painter. Trong đó có 11 lỗ hổng nghiêm trọng và 3 lỗ hổng quan trọng.

Hầu hết các lỗ hổng được vá lần này là loại cho phép tin tặc thực thi mã độc tùy ý trên hệ thống bị ảnh hưởng khi người dùng mở một tệp tin được chế tạo đặc biệt. Không có lỗ hổng nào được báo cáo là đã biết công khai hoặc đang bị tích cực khai thác ở thời điểm phát hành bản vá.

SAP

Ở một động thái khác, SAP đã phát hành bản vá cho 20 lỗ hổng bảo mật, trong đó có 3 lỗ hổng nghiêm trọng, 7 lỗ hổng quan trọng và 10 lỗ hổng trung bình.

Đặc biệt, một trong ba lỗ hổng nghiêm trọng lần này với mã định danh CVE-2021-44152 liên quan đến thành phần Reprise License Manager 14.2 được sử dụng với SAP 3D Visual Enterprise License Manager. Reprise License Manager là phần mềm bên thứ ba cung cấp dịch vụ quản lý giấy phép cho các ứng dụng khác nhau. Nó cho phép các nhà cung cấp phần mềm quản lý mô hình cấp phép và cung cấp cho người dùng cách kích hoạt và theo dõi giấy phép của họ. Trước đây, đã có một số lỗ hổng bảo mật được phát hiện trong Reprise License Manager, những kẻ tấn công có thể khai thác các lỗ hổng này để giành quyền truy cập trái phép vào hệ thống hoặc lấy cắp thông tin nhạy cảm. Do đó, việc cài đặt và áp dụng bản vá mới nhất cho thành phần này rất quan trọng.

M.H

‹ › ×

Tin liên quan

Hikvision phát hành bản vá cho lỗ hổng bảo mật nghiêm trọng

07:00 | 24/04/2023

Mới đây, Hikvision đã phát hành bản vá cho một lỗ hổng nghiêm trọng ảnh hưởng đến các sản phẩm lưu trữ cụm và Hybrid SAN.

Microsoft sẽ mất gần một năm để vá lỗ hổng Secure Boot mới

09:00 | 05/06/2023

Đầu tháng 5, Microsoft đã phát hành một bản vá cho lỗ hổng bỏ qua Khởi động an toàn (Secure Boot) được sử dụng bởi bộ khởi động BlackLotus được báo cáo vào tháng 3. Lỗ hổng ban đầu định danh CVE-2022-21894, đã được vá vào tháng 1, nhưng bản vá mới cho CVE-2023-24932 đã xử lý một giải pháp thay thế được khai thác tích cực khác cho các hệ thống chạy Windows 10 và 11 và các phiên bản Windows Server cho tới tận phiên bản 2008.

Microsoft phát hành bản vá lỗ hổng bảo mật tháng 3/2023

15:00 | 05/04/2023

Trung tuần tháng 3, Microsoft đã phát hành bản cho 74 lỗ hổng bảo mật. Trong đó, có 6 lỗ hổng xếp hạng nghiêm trọng, 67 lỗ hổng quan trọng và 1 lỗ hổng xếp hạng trung bình. Hai trong số những lỗ hổng đó đã bị tấn công, bao gồm một lỗ hổng nghiêm trọng trong Microsoft Outlook có thể bị khai thác mà không cần bất kỳ sự tương tác nào của người dùng.

Zyxel phát hành bản vá cho lỗ hổng nghiêm trọng ảnh hưởng đến bộ định tuyến

17:00 | 02/03/2023

Nhà sản xuất thiết bị mạng Zyxel (Đài Loan) đã phát hành bản vá cho lỗ hổng nghiêm trọng ảnh hưởng đến bộ định tuyến trong nhà Zyxel 4G LTE. Lỗ hổng này cho phép tin tặc từ xa truy cập vào thiết bị tồn tại lỗ hổng.

Tin cùng chuyên mục

Fortinet hợp tác cùng Viettel IDC đa dạng hóa giải pháp an ninh mạng

13:00 | 19/09/2023

Sự hợp tác giữa Fortinet và Viettel IDC đánh dấu một bước tiến quan trọng trong việc tăng cường bảo vệ mạng thông tin và dữ liệu trên nền tảng điện toán đám mây. Fortinet và Viettel IDC cùng kỳ vọng hợp tác lần này sẽ mang lại nhiều lựa chọn hơn cho khách hàng đang tìm kiếm khả năng bảo vệ tối ưu.

Avast phát hành bộ giải mã phần mềm tống tiền Akira miễn phí giúp khôi phục các tệp dữ liệu bị mã hóa trên Windows

10:00 | 05/07/2023

Vừa qua, công ty an ninh mạng Avast đã phát hành bộ giải mã miễn phí đối với phần mềm tống tiền Akira có thể giúp nạn nhân khôi phục dữ liệu của họ mà không phải trả bất kỳ khoản tiền nào cho tin tặc.

Cập nhật bản vá lỗ hổng bảo mật tháng 6/2023

15:00 | 30/06/2023

Trong tháng 6, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Nhân viên các công ty giàu nhất thế giới vẫn đang dùng mật khẩu kém an toàn

13:00 | 09/05/2023

Nhiều người thường nghĩ rằng các công ty giàu nhất thế giới sẽ có nhiều chi phí dùng cho an ninh mạng nên mọi thứ sẽ tốt hơn. Điều đó có thể đúng trong một số khía cạnh, tuy nhiên chi phí lớn không có nghĩa là người dùng của các công ty sử dụng mật khẩu mạnh. Một báo cáo được công ty quản lý mật khẩu NordPass công bố mới đây cho thấy một số nhân viên tại một số công ty giàu nhất đang sử dụng mật khẩu yếu.