Cập nhật bản vá lỗ hổng bảo mật tháng 01/2021

11:00 | 22/01/2021 | DOANH NGHIỆP

Tháng 1/2021, Microsoft, Adobe và Mozilla đều đã phát hành các bản cập nhật bảo mật cho các sản phẩm của mình. Người dùng cần khẩn trương cập nhật bản vá để tránh rủi ro mất an toàn thông tin.

Microsoft

Cập nhật bản vá lỗ hổng bảo mật tháng 01/2021

Trong bản cập nhật tháng 1/2021, Microsoft đã vá tổng cộng 83 lỗ hổng trên các sản phẩm Microsoft Windows, Edge (dựa trên EdgeHTML), ChakraCore, Office, các tiện ích liên quan, Visual Studio, Microsoft Malware Protection Engine, .NET Core, ASP .NET và Azure. Trong số này có 10 lỗ hổng được đánh giá là nghiêm trọng, các lỗ hổng còn lại được xếp hạng quan trọng. Không may mắn, lỗ hổng zero-day trong phần mềm diệt virus Microsoft Defender đã bị khai thác trước khi phát hành bản vá.

Được định danh CVE-2021-1647, lỗ hổng này thực thi lệnh từ xa (RCE), cho phép tin tặc thực thi các dòng lệnh trên thiết bị bị ảnh hưởng bằng cách đánh lừa người dùng mở tài liệu nhiễm độc trên máy tính cài Defender. Microsoft đã phát hành bản vá cho Microsoft Malware Protection Engine, không yêu cầu tương tác của người dùng và sẽ được cài đặt tự động, trừ trường hợp bị quản trị viên hệ thống chặn.

Ngoài ra, Microsoft cũng vá lỗ hổng trong dịch vụ Windows splwow64 có thể bị lợi dụng để leo thang đặc quyền khi thực thi lệnh tấn công. Chi tiết về lỗ hổng CVE-2021-1648 này được tiết lộ vào ngày 15/12/2020 và chưa bị khai thác. Tuy nhiên, quản trị viên hệ thống được khuyên vá lỗ hổng ngay để tránh rắc rối trong tương lai.

Adobe

Trong tháng, Adobe đã phát hành bản vá cho 8 lỗ hổng trong các sản phẩm Adobe Campaign Classic, Photoshop, Illustrator, Animate, InCopy, Captivate và Bridge.

Trong đó có một lỗ hổng bảo mật giả mạo yêu cầu phía máy chủ (SSRF) trên Campaign Classic; lỗi tràn bộ đệm trong Photoshop. Hãng cũng đã khắc phục lỗ hổng của đường dẫn tìm kiếm không được kiểm soát trên Illustrator, Animate, InCopy, Captivate. Cuối cùng là 2 lỗ hổng Out-Of-Bounds trên Bridge. May mắn, không có lỗ hổng nào được biết đến công khai hoặc bị tấn công.

Mozilla

Tháng 1 này Mozilla đã phát hành bản vá cho 1 lỗ hổng với định danh CVE-2020-16044. Lỗ hổng được đánh giá là rất nghiêm trọng tồn tại trên Firefox, Firefox ESR, Firefox cho Android. Lỗ hổng này được phân loại là Use-after-free và gắn liền với quá trình Firefox xử lý cookie của trình duyệt. Nếu khai thác thành công, tin tặc có thể truy cập vào máy tính, điện thoại hoặc máy tính bảng chạy phần mềm trình duyệt.

Mozilla cho biết, tin tặc có thể đã sửa đổi đoạn COOKIE-ECHO trong gói SCTP để dẫn đến use-after-free và bị khai thác để chạy mã tuỳ ý.

Mai Hương

(tổng hợp)

‹ › ×

Tin liên quan

Cập nhật bản vá lỗ hổng bảo mật tháng 12/2020

16:00 | 29/12/2020

Tháng 12/2020, Microsoft, Adobe và Apple đã phát hành các bản cập nhật bảo mật cho các sản phẩm của mình. Người dùng cần khẩn trương cập nhật bản vá để tránh rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 02/2021

10:00 | 25/02/2021

Tháng 2/2021, Microsoft, Adobe và Mozilla đều đã phát hành các bản cập nhật bảo mật cho các sản phẩm của mình. Người dùng cần khẩn trương cập nhật bản vá để tránh rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 03/2021

07:00 | 29/03/2021

Tháng 3/2021, các hãng công nghệ Microsoft, Adobe và Apple đã phát hành bản vá cho tổng cộng 107 lỗ hổng trên các sản phẩm của hãng. Người dùng cần khẩn trương cập nhật bản vá để tránh rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 11/2020

17:00 | 10/12/2020

Tháng 11/2020, Microsoft, Adobe và Mozilla đã phát hành các bản cập nhật bảo mật cho các sản phẩm của mình. Người dùng cần khẩn trương cập nhật bản vá để tránh rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 09/2020

14:00 | 01/10/2020

Với 110 lỗ hổng được vá trong bản cập nhật tháng 9, Microsoft đã nâng tổng số lỗ hổng được vá lên gần 1000 trong năm 2020.

Tin cùng chuyên mục

DMS - Giải pháp giám sát an toàn thông tin hiệu quả

10:00 | 24/02/2021

Bài viết giới thiệu về Hệ thống giám sát truy vấn tên miền (Domain Monitoring System - DMS) - một giải pháp đơn giản, hiệu quả trong việc giám sát an toàn thông tin hệ thống mạng máy tính chuyên dùng. Hệ thống DMS hoạt động dựa trên nguyên lý truy vấn tên miền, được triển khai theo mô hình các máy khách (client) phân tán và máy chủ (server) quản lý tập trung. Trong đó, các máy client không yêu cầu cao về cấu hình phần cứng. Hệ thống này đã được Lữ đoàn 2, Bộ Tư lệnh 86 phát triển, triển khai trong thực tế, hoạt động ổn định, đặc biệt tại các đơn vị vừa và nhỏ không có các thiết bị mạng cấu hình cao.

MVISION EDR bổ sung khả năng quản lý phát hiện và ứng phó mối đe dọa

10:00 | 28/01/2021

McAfee hiện đang hợp tác với ECS để cung cấp khả năng quản lý phát hiện và ứng phó mối đe dọa thông qua McAfee MVISION EDR. Đây là giải pháp giúp doanh nghiệp vượt qua các mối đe dọa mới do AI phân tích và định hướng để xử lý các rủi ro liên quan và tự động loại bỏ các công đoạn thủ công trong việc thu thập và phân tích dữ liệu.

SAVIS trình diễn Hệ giải pháp chuyển đổi số tại Triển lãm quốc tế đổi mới sáng tạo Việt Nam 2021

13:00 | 13/01/2021

Tại Triển lãm quốc tế Đổi mới sáng tạo Việt Nam 2021 (VIIE 2021) diễn ra ngày 9 - 10/01/2021, SAVIS đã mang đến những thiết bị và giải pháp công nghệ sáng tạo phục vụ chuyển đổi số trong xây dựng Chính phủ điện tử, Chính phủ số, Doanh nghiệp số, Ngân hàng mở, Truyền hình - Truyền thanh số… thu hút sự quan tâm của các đại biểu tại sự kiện.

Công ty An ninh mạng Viettel thắng lớn tại IT World Awards 2020

16:00 | 07/09/2020

Tháng 8/2020, Ban tổ chức giải thưởng danh giá IT World Awards 2020 đã công bố danh sách sản phẩm, dịch vụ đạt giải năm 2020. Cả 2 sản phẩm của Công ty An ninh mạng Viettel (VCS) tham dự cuộc thi năm nay đều đạt giải.