Cập nhật bản vá lỗ hổng bảo mật tháng 11/2021

16:00 | 03/12/2021 | TIN TỨC SẢN PHẨM

Trong tháng 11/2021, Microsoft, Adobe và SAP đã phát hành các bản cập nhật bảo mật cho các sản phẩm của mình. Người dùng cần khẩn trương cập nhật bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft

Trung tuần tháng 11, Microsoft đã phát hành bản vá cho 55 lỗ hổng trong Microsoft Windows, Windows Components, Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge (dựa trên Chromium), Exchange Server, Microsoft Office, Office Components, Windows Hyper-V, Windows Defender và Visual Studio. Trong đó, có 6 lỗ hổng nghiêm trọng và 49 lỗ hổng quan trọng.

Đáng chú ý, lỗ hổng đang bị tấn công CVE-2021-42292 có thể vượt qua tính năng bảo mật của trên Microsoft Excel thông qua việc người dùng truy cập một tệp tin độc hại.

Cùng với đó, một lỗ hổng khác cũng đang bị tấn công định danh CVE-2021-42321 trong Microsoft Exchange Server cho phép kẻ tấn công thực thi mã từ xa. Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Microsoft Exchange Server luôn là một mục tiêu ưu thích của các nhóm tấn công mạng vì vậy các đơn vị cần có kế hoạch cập nhập sớm các hệ thống bị ảnh hưởng.

Bản vá lần này cũng vá một lỗ hổng khác đang bị tấn công có định danh CVE-2021-26443 trong Microsoft Virtual Machine Bus (VMBus) cho phép kẻ tấn công thực thi mã từ xa.

Trong bản vá lần này, có 4 lỗ hổng được biết đến công khai. Hai lỗ hổng định danh CVE-2021-38631 và CVE-2021-41371 trong Microsoft Remote Desktop Protocol (RDP) ảnh hưởng từ Windows 7 đến Windows 11 và trên Windows Server 2008-2019, cho phép đối tượng tấn công có thể thu thập thông tin mật khẩu RDP của hệ thống dễ bị tấn công. Hai lỗ hổng bảo mật CVE-2021-43208, CVE-2021-43209 trong 3D Viewer cho phép đối tượng tấn công thực thi mã từ xa.

Adobe

Cập nhật bản vá lỗ hổng bảo mật tháng 11/2021

Trong tháng 11, Adobe phát hành bản vá sửa chữa 4 lỗ hổng trong Creative Cloud Desktop, InCopy và RoboHelp. Trong đó có 2 lỗ hổng nghiêm trọng và 2 lỗ hổng quan trọng.

Hai lỗ hổng nghiêm trọng khi khai thác thành công có thể khiến kẻ tấn công thực thi mã tuỳ ý. Đáng chú ý lỗ hổng nghiêm trọng định danh CVE-2021-42727 trong RoboHelp Server tồn tại do lỗi xác thực đầu vào trong quá trình duyệt thư mục, cho phép kẻ tấn công có thể gửi một yêu cầu HTTP được thiết kế có chủ đích, từ đó tuỳ ý đọc các tệp trên hệ thống.

May mắn, không có lỗ hổng nào bị công khai hoặc tấn công trước thời điểm phát hành bản vá.

SAP

Cũng trong tháng 11, SAP đã phát hành bản vá cho 7 lỗ hổng bảo mật. Trong đó, có 1 lỗ hổng nghiêm trọng, 2 lỗ hổng quan trọng và 4 lỗ hổng trung bình.

Lỗ hổng nghiêm trọng duy nhất có định danh CVE-2021-40501 có điểm CVSS: 9.6. Lỗ hổng tồn tại trong nhân SAP ABAP Platform phiên bản: 7.77, 7.81, 7.85, 7.86 do không kiểm tra những quyền đã cấp, dẫn đến vượt quyền đọc và sửa đổi dữ liệu.

Mai Hương

‹ › ×

Tin liên quan

Lỗ hổng đọc tệp trái phép chưa được vá ảnh hưởng đến hệ điều hành Microsoft Windows

10:00 | 21/12/2021

Microsoft đã phát hành bản vá không chính thức để khắc phục lỗ hổng bảo mật trên Windows, có thể cho phép tiết lộ thông tin và leo thang đặc quyền cục bộ (LPE) trên các hệ thống dễ bị tấn công.

Cập nhật bản vá lỗ hổng bảo mật tháng 12/2021

17:00 | 23/12/2021

Trung tuần tháng 12/2021, các bản cập nhật bảo nhật của các hãng công nghệ lớn như Microsoft, Adobe và Google đã được phát hành. Quản trị viên và người dùng cần lưu ý cập nhật các bản vá kịp thời để tránh các rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 10/2021

09:00 | 02/11/2021

Trung tuần tháng 10/2021, Microsoft, Adobe và Mozilla đã phát hành các bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Apple phát hành bản vá khẩn cấp cho iPhone và iPad

16:00 | 19/10/2021

Ngày 11/10, Apple đã phát hành một bản cập nhật bảo mật cho iPhone và iPad để giải quyết một lỗ hổng nghiêm trọng được cho rằng đang bị khai thác, có thể trở thành lỗ hổng zero-day thứ 17 mà Apple đã xử lý trong các sản phẩm đầu năm 2021.

Cập nhật bản vá lỗ hổng bảo mật tháng 1/2022

10:00 | 21/01/2022

Trung tuần tháng 01/2022, các bản cập nhật bảo mật của các hãng công nghệ lớn như Microsoft, Adobe và Mozilla đã được phát hành. Quản trị viên và người dùng cần lưu ý cập nhật các bản vá kịp thời để tránh các rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 02/2022

08:00 | 24/02/2022

Trong tháng 02/2022, Microsoft, Adobe và Mozilla đã phát hành bản cập nhật bảo mật cho các sản phẩm của mình. Người dùng cần khẩn trương cập nhật bản vá để phòng tránh rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 9/2020

10:00 | 07/10/2021

Trung tuần tháng 09/2021, các bản cập nhật bảo nhật của các hãng công nghệ lớn như Microsoft, Adobe và Apple đã được phát hành. Quản trị viên và người dùng cần lưu ý cập nhật các bản vá kịp thời để tránh các rủi ro mất an toàn thông tin.

Tin cùng chuyên mục

Bối cảnh mối đe dọa mạng liên quan đến ngành trò chơi trực tuyến năm 2023

09:00 | 13/02/2024

Ngành công nghiệp trò chơi hiện nay vẫn đang trên đà phát triển, theo thống kê của công ty tư vấn và nghiên cứu thị trường Grand View Research (Mỹ), doanh thu trò chơi trên toàn cầu ước tính khoảng 242,39 tỷ USD, với gần một nửa trong số đó đến từ khu vực châu Á - Thái Bình Dương (APAC). Với doanh thu và số lượng người chơi ngày càng tăng, ngành công nghiệp trò chơi được dự báo tiếp tục trở thành mục tiêu “hấp dẫn” của tội phạm mạng, những thể loại trò chơi phổ biến đang được sử dụng làm mồi nhử cho các chiến dịch độc hại. Bài viết này trình bày những phát hiện chính về các mối đe dọa mạng liên quan đến ngành công nghiệp trò chơi trong năm 2023, dựa trên báo cáo tổng hợp của hãng bảo mật Kaspersky.

GitLab phát hành bản vá cho hai lỗ hổng nghiêm trọng

07:00 | 17/01/2024

GitLab đã phát hành các bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng. Đáng lưu ý, một trong hai lỗ hổng được vá có thể bị khai thác để chiếm đoạt tài khoản mà không yêu cầu bất kỳ tương tác nào của người dùng.

Google khai tử mật khẩu truyền thống

15:00 | 16/10/2023

Google đưa ra thông báo về việc hệ thống mã khóa (passkey) sẽ trở thành công cụ đăng nhập mặc định trên tất cả tài khoản Google, thay vì dùng mật khẩu (password) như bình thường.

Đẩy mạnh thương mại hóa dịch vụ 5G

15:00 | 04/10/2023

Kế hoạch thương mại hóa dịch vụ 5G được Bộ Thông tin và Truyền thông (TT&TT) ban hành cuối tháng 8/2023 với nguyên tắc phát triển hạ tầng phải đi trước một bước. Theo đó, hạ tầng được xác định là nền tảng cho phát triển các ứng dụng, dịch vụ 5G để đáp ứng nhu cầu phát triển kinh tế số, xã hội số phục vụ tiến trình chuyển đổi số quốc gia.

Tin được quan tâm

Bảo đảm an ninh thông tin cơ sở hạ tầng quan trọng của Hoa Kỳ

08:00 | 11/01/2024 | Chính sách - Chiến lược
Giải pháp phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc (Phần I)

09:00 | 10/01/2024 | Giải pháp khác

Giải pháp tăng cường an ninh mạng ở Italia

09:00 | 05/01/2024|Chính sách - Chiến lược
Cạnh tranh Mỹ - Trung về cáp quang biển toàn cầu (phần 1)

09:00 | 05/01/2024|An ninh – Quốc Phòng

CISA cung cấp dịch vụ an ninh mạng cho các tổ chức trọng yếu không thuộc Chính quyền

09:00 | 21/12/2023|CA Công cộng
5 lưu ý giúp tăng cường bảo mật công nghệ vận hành cho các doanh nghiệp sản xuất

14:00 | 14/08/2023|Giải pháp khác

Doanh nghiệp

Kaspersky cho ra mắt smartphone đầu tiên chạy hệ điều hành KasperskyOS

Theo cơ quan thông tấn Nga (TASS) đưa tin, tại hội nghị tổ chức ở thủ đô Moscow, Giám đốc điều hành Kaspersky Lab, Eugene Kaspersky, đã giới thiệu mẫu smartphone đầu tiên chạy hệ điều hành KasperskyOS do hãng tự phát triển. Đây cũng là smartphone đầu tiên có phần cứng được thiết kế bởi Aquarius, hoạt động tốt dù đang trong giai đoạn thử nghiệm.

14:00 | 25/04/2024
Telegram khắc phục lỗ hổng zero-day trên Windows
Bảo vệ dữ liệu Microsoft 365 quy mô lớn và chuẩn bị cho Copilot Generative AI
Microsoft thành lập trung tâm trí tuệ nhân tạo