Cập nhật bản vá lỗ hổng bảo mật tháng 3/2023

13:00 | 23/03/2023 | TIN TỨC SẢN PHẨM

Trong tháng 3, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft

Cập nhật bản vá lỗ hổng bảo mật tháng 3/2023

Trung tuần tháng 3, Microsoft đã phát hành bản cho 74 lỗ hổng bảo mật trong các sản phẩm Microsoft Window và Microsoft Component; Aruze; Office và Office Component; Visual Studio, Edge (Chromium-based) và Microsoft Dynamics. Trong đó, có 6 lỗ hổng xếp hạng nghiêm trọng, 67 lỗ hổng quan trọng và 1 lỗ hổng xếp hạng trung bình.

Đáng lưu ý, trong bản vá lần này có lỗ hổng nghiêm trọng định danh CVE-2023-23392, đang bị tích cực khai thác trong tháng này. Lỗ hổng với điểm CVSS 9.8 này cho phép tin tặc có thể thực hiện mã độc tùy ý ở cấp hệ thống mà không cần thao tác người dùng. Các hệ thống bị tấn công đòi hỏi thỏa mãn một số điều kiện như đã bật HTTP/3 và được thiết lập sử dụng bộ đệm I/O. Tuy nhiên đây là những thiết lập tương đối phổ thông đối với Windows 11 và Windows Service 2022.

Adobe

Cũng trong tháng 3, Adobe phát hành bản vá lớn cho 105 lỗ hổng bảo mật trong các sản phẩm Adobe Photoshop, Experience Manager, Dimension, Commerce, Substance 3D Stager, Cloud Desktop Application, và Illustrator. Trong đó, có 61 lỗ hổng xếp hạng nghiêm trọng, 35 lỗ hổng quan trọng và 9 lỗ hổng trung bình. Không có lỗ hổng nào được liệt kê là đang bị khai thác công khai tạo thời điểm phát hành bản vá.

Trong các lỗ hổng được vá lần này đáng chú ý là lỗ hổng nghiêm trọng với điểm CVSS 9.8 trong phần mềm Cold Fusion định danh CVE-2023-26359. Lỗ hổng này lợi dụng việc các dữ liệu được mã hóa tuần tự sau khi được giải mã có thể bị sửa đổi mà không cần sử dụng các phương thức truy cập được cung cấp nếu không sử dụng mật mã để bảo vệ chính nó. Qua đó, tin tặc có thể thực thi mã tùy ý.

SAP

Ở một động thái khác, SAP đã phát hành bản vá cho 21 lỗ hổng bảo mật trong các sản phẩm SAP NetWeaver AS for ABAP và ABAP Platform, SAP NetWeaver for Java và SAP Business Object Business Intelligence Platform. Trong đó có 6 lỗ hổng nghiêm trọng, 4 lỗ hổng quan trọng và 11 lỗ hổng xếp hạng trung bình.

Một trong ba lỗ hổng với điểm CVSS 9,9 có mã định danh CVE-2023-23857. Đây là một lỗ hổng nghiêm trọng trong nền tảng SAP NetWeaver AS for Java - version 7.50. Lỗ hổng cho phép khai thác việc thiếu kiểm tra xác thực của SAP NetWeaver AS, qua đó, kẻ tấn công không được xác thực có thể mở giao diện và thực hiện các hoạt động trái phép ảnh hưởng đến người dùng và dịch vụ xuyên suốt các hệ thống. Khi khai thác thành công, tin tặc có thể đọc và sửa đổi một số thông tin nhạy cảm nhưng cũng có thể được sử dụng để khóa bất kỳ thành phần hoặc hoạt động nào của hệ thống khiến hệ thống không phản hồi hoặc không khả dụng.

Mai Hương

‹ › ×

Tin liên quan

Zyxel phát hành bản vá cho lỗ hổng nghiêm trọng ảnh hưởng đến bộ định tuyến

17:00 | 02/03/2023

Nhà sản xuất thiết bị mạng Zyxel (Đài Loan) đã phát hành bản vá cho lỗ hổng nghiêm trọng ảnh hưởng đến bộ định tuyến trong nhà Zyxel 4G LTE. Lỗ hổng này cho phép tin tặc từ xa truy cập vào thiết bị tồn tại lỗ hổng.

Microsoft phát hành bản vá lỗ hổng bảo mật tháng 3/2023

15:00 | 05/04/2023

Trung tuần tháng 3, Microsoft đã phát hành bản cho 74 lỗ hổng bảo mật. Trong đó, có 6 lỗ hổng xếp hạng nghiêm trọng, 67 lỗ hổng quan trọng và 1 lỗ hổng xếp hạng trung bình. Hai trong số những lỗ hổng đó đã bị tấn công, bao gồm một lỗ hổng nghiêm trọng trong Microsoft Outlook có thể bị khai thác mà không cần bất kỳ sự tương tác nào của người dùng.

Fortinet phát hành bản vá cho hai lỗ hổng nghiêm trọng trong FortiNAC và FortiWeb

08:00 | 20/02/2023

Fortinet vừa phát hành bản vá cho hai lỗ hổng nghiêm trọng định danh CVE-2022-39952 và CVE-2021-42756 ảnh hưởng đến các sản phẩm FortiNAC và FortiWeb của hãng.

Atlassian phát hành bản vá cho lỗ hổng bảo mật nghiêm trọng

07:00 | 10/02/2023

Atlassian (Vương Quốc Anh) vừa phát hành bản vá khắc phục lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Jira Service Management Server và Data Center.

Tin cùng chuyên mục

AMD giới thiệu chip mới dành cho máy tính hỗ trợ AI

09:00 | 03/05/2024

Ngày 16/4, nhà sản xuất linh kiện bán dẫn tích hợp đa quốc gia AMD đã giới thiệu chip mới mới dành cho máy tính xách tay và máy tính để bàn hỗ trợ trí tuệ nhân tạo (AI), khi các nhà thiết kế chip này tìm cách mở rộng thị phần của mình trên thị trường máy tính sử dụng AI (PC AI).

28 ứng dụng chứa mã độc nhắm đến người dùng Android

10:00 | 10/04/2024

Các chuyên gia bảo mật vừa phát hiện 28 ứng dụng có chứa mã độc đã được cài đặt trên smartphone của hàng triệu người dùng. Nếu đã cài đặt một trong các ứng dụng này, hãy lập tức gỡ bỏ khỏi thiết bị.

Cập nhật bản vá lỗ hổng bảo mật tháng 11

09:00 | 08/12/2023

Trong tháng 11, Microsoft, Linux và VMWare lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Mi2 JSC đồng hành cùng Hội thảo - Triển lãm Ngày An toàn thông tin Việt Nam năm 2023

16:00 | 04/12/2023

Với mong muốn được góp sức vào sự phát triển cộng đồng, mang lại giá trị cho các tổ chức/doanh nghiệp trong ngành An toàn, an ninh thông tin, sáng ngày 30/11 vừa qua, Công ty Cổ phần Tin học Mi Mi (Mi2 JSC) đã đồng hành và tham dự Hội thảo - Triển lãm Ngày An toàn thông tin Việt Nam 2023. Sự kiện do Hiệp hội An toàn thông tin Việt Nam (VNISA) tổ chức với chủ đề “An toàn dữ liệu trong thời đại điện toán đám mây và trí tuệ nhân tạo”.