Gửi lúc: 25/10/2018 09:39:27
Bookmark and Share

Cập nhật bản vá lỗ hổng bảo mật tháng 9/2018

Trong tháng 9/2018, các hãng công nghệ lớn trên thế giới bao gồm Microsoft, Google và Apple đã phát hành bản cập nhật bảo mật cho các sản phẩm của mình.



Microsoft

Ngày 11/9/2018, Microsoft đã phát hành bản vá Patch Tuesday tháng 9. Trong đó bao gồm 61 bản sửa lỗi cho 17 lỗ hổng nghiêm trọng, 43 lỗ hổng quan trọng và 01 lỗ hổng trung bình. Các lỗ hổng ảnh hưởng đến các trình duyệt (Internet Explorer, Edge), Hyper-V, các thành phần Windows, phần mềm Office và trình thực thi ngôn ngữ JavaScript ChakraCore của Microsoft.

Trong số 61 lỗ hổng, 17 lỗ hổng nghiêm trọng đều là lỗi thực thi mã từ xa. Đáng chú ý, lỗ hổng leo thang đặc quyền trong hệ điều hành Windows được đánh giá là nghiêm trọng. Lỗ hổng có định danh CVE-2018-8440 có thể cho phép kẻ tấn công khai thác một điểm yếu trong chức năng gọi thủ tục cục bộ nâng cao (Advanced Local Procedure Call) của trình sắp xếp thời gian các nhiệm vụ trong Windows (Windows Task Scheduler) và chạy mã tùy ý trên hệ thống đích. Thông tin chi tiết về lỗ hổng này đã được tiết lộ vào cuối tháng 8/2018 trên Twitter bởi nhà nghiên cứu có tên người dùng @SandboxEscaper. Sau đó, lỗ hổng được sử dụng trong một chiến dịch lây lan mã độc của nhóm tội phạm mạng có tên PowerPool.

03 lỗ hổng khác cũng đã bị công khai, bao gồm CVE-2018-8475, CVE-2018-8457 và CVE-2018-8409. Trong đó, lỗ hổng CVE-2018-8475 được đánh giá nghiêm trọng, là lỗ hổng thực thi mã từ xa trong thành phần đồ họa của Windows (Windows Graphics Component), cho phép tin tặc tấn công một hệ thống một cách đơn giản thông qua việc cho người dùng xem một tệp tin hình ảnh.
Hai lỗ hổng còn lại là CVE-2018-8457, lỗ hổng tham nhũng bộ nhớ trong trình thực thi lệnh được đánh giá nghiêm trọng và CVE-2018-8409, lỗ hổng từ chối dịch vụ trong System.IO.Pipelines.

Theo Microsoft, 3 lỗ hổng này chưa bị khai thác trong thực tế nhưng đều được Microsoft đưa vào danh mục “đã bị công khai”, yêu cầu người dùng cài đặt bản vá ngay lập tức.

Adobe cũng đưa ra bản vá với định danh ADV180023 hay CVE-2018-15967. Đây là bản vá cho lỗ hổng Flash Player được đánh giá quan trọng, có định danh APSB18-31, ảnh hưởng đến chương trình Adobe Flash Player và các plug-in cho Chrome, Firefox, Edge và Internet Explorer 11.

Google

Trong tháng 9/2018, Google đã phát hành bản cập nhật giải quyết 59 lỗ hổng bảo mật cho Android, cụ thể là 24 lỗ hổng trong ngày 01/9 và 35 lỗ hổng trong ngày 05/9.

Trong số các lỗ hổng này, nghiêm trọng nhất là lỗ hổng bảo mật trong Nền tảng Đa phương tiện (Media Framework), cho phép kẻ tấn công thực thi mã tùy ý từ xa bằng cách sử dụng một tệp tin tự tạo trong phạm vi một quy trình đặc quyền. Ngoài ra, bản vá cho lỗ hổng này cũng khắc phục lỗ hổng trong Nền tảng Chạy chương trình (Runtime Framework) và thư viện. Theo Google, các lỗ hổng này chưa bị báo cáo là đã bị khai thác trong thực tế.

Apple

Tháng 9/2018, Apple đã phát hành nhiều bản cập nhật cho các sản phẩm, bao gồm iTunes 12.9 cho Windows (12/9); iOS 12, tvOS 12, watchOS 5, Safari 12, Apple Support 2.4 cho iOS, Xcode 10 (17/9); macOS Mojave 10.14 (24/9).

Bản cập nhật Mojave ngày 24/9 đã giải quyết nhiều lỗ hổng bảo mật, bao gồm 02 lỗ hổng thực thi mã từ xa trong nhân (CVE-2018-4336, CVE-2018-4344), lỗ hổng mã hóa RC4 (CVE-2016-1777), lỗ hổng chặn bắt lưu lượng trong Bluetooth (CVE-2018-5383), lỗ hổng thoát khỏi sandbox trong tường lửa (CVE-2018-4353), lỗ hổng truy cập bộ nhớ hạn chế trong Crash Reporter (CVE-2018-4333) và các lỗ hổng trong Tự động Mở khóa (Auto Unlock) (CVE-2018-4321) và Cửa hàng Ứng dụng (App Store) (CVE-2018-4324) cho phép kẻ tấn công truy cập vào ID Apple của người dùng.

Thảo Uyên