Microsoft

Microsoft vừa phát hành bản vá cho 89 lỗ hổng trong các sản phẩm của mình. Trong đó có, 26 lỗ hổng nâng cao đặc quyền; 02 lỗ hổng bỏ qua tính năng bảo mật; 52 lỗ hổng thực thi mã từ xa; 01 lỗ hổng tiết lộ thông tin; 04 lỗ hổng từ chối dịch vụ và 03 lỗ hổng giả mạo. Microsoft cho biết các lỗ hổng được khắc phục trong bản vá lần này không bao gồm 02 lỗ hổng Edge đã được khắc phục trước đó vào ngày 7/11.

Đáng chú ý, lỗ hổng CVE-2024-43602 có điểm CVSS 9,9 là lỗ hổng nghiêm trọng nhất mà Microdoft giải quyết liên quan đến sự cố Azure CycleCloud Remote Code Execution. Kẻ tấn công có quyền người dùng cơ bản có thể khai thác Azure CycleCloud bằng cách gửi các yêu cầu được tạo sẵn để giành quyền truy cập gốc, cho phép thực thi lệnh trên các cụm và có khả năng xâm phạm thông tin xác thực của quản trị viên.
Adobe

Cũng trong tháng 11, Adobe đã phát hành bản vá để giải quyết 49 lỗ hổng bảo mật trong các sản phẩm Adobe Bridge, Audition, After Effects, Substance 3D Painter, Illustrator, InDesign, Photoshop và Commerce. Trong 49 lỗ hổng có 28 lỗ hổng xếp hạng mức độ nghiêm trọng và 21 lỗ hổng xếp hạng quan trọng.

Bản vá được phát hành lần này bao gồm bản vá của sản phẩm Adobe Commerce và Adobe Photoshop với 01 lỗ hổng bảo mật được giải quyết; bản vá của các sản phẩm Adobe Bridge và Adobe Audition giải quyết 02 lỗ hổng bảo mật. Tiếp theo là bản vá của sản phẩm Adobe After Effects và Adobe InDesign với 06 lỗ hổng bảo mật. Bản vá của sản phẩm Adobe Illustrator giải quyết 09 lỗ hổng bảo mật được giải quyết. Cuối cùng là bản vá lớn nhất của sản phẩm Substance 3D Painter giải quyết 22 lỗ hổng bảo mật. 

Tất cả 28 lỗ hổng nghiêm trọng được giải quyết lần này nếu bị khai thác thành công đều dẫn đến việc kẻ tấn công có thể thực thi mã độc từ xa. Không có lỗ hổng nào được báo cáo là đang bị tích cực khai thác hoặc đang được công bố công khai. Hãng Adobe khuyến cáo người dùng nhanh chóng cập nhật bản vá để tránh những nguy cơ đáng tiếc. 

SAP

Ở một động thái khác, SAP đã phát hành bản cập nhật để giải quyết 10 lỗ hổng bảo mật trong đó có 08 lỗ hổng mới và 02 lỗ hổng được phát hành bổ sung so với bản cập nhật phát hành trước đó. Trong 10 lỗ hổng này, có 02 lỗ hổng xếp hạng mức độ nghiêm trọng, 06 lỗ hổng xếp hạng quan trọng và 02 lỗ hổng xếp hạng trung bình. 

Lỗ hổng bảo mật nghiêm trọng với điểm CVSS cao nhất mà hãng SAP giải quyết trong bản cập nhật lần này định danh CVE-2024-47590 với 8,8 điểm CVSS. Đây là lỗ hổng XSS xảy ra trên sản phẩm SAP Web Dispatcher. Khi nạn nhân đã xác thực nhấp vào liên kết độc hại được chế tạo bởi kẻ tấn công chưa xác thực, dữ liệu sẽ được xử lý bởi trình duyệt của nạn nhân hoặc được truyền đến máy chủ khác để tạo nội dung của trang web. Lúc này, kẻ tấn cống có thể khai thác để thực thi mã tùy ý trên máy chủ, xâm phạm tính bảo mật, tính toàn vẹn và tính khả dụng.