Cập nhật bản vá lỗ hổng bảo mật tháng 6/2018

09:00 | 23/07/2018 | TIN TỨC SẢN PHẨM

Trong tháng 6, các công ty công nghệ lớn trên thế giới đã phát hành bản vá dành cho sản phẩm của mình. Cụ thể: Microsoft đã vá 50 lỗ hổng, Google vá 58 lỗ hổng, Apple phát hành bản cập nhật cho nhiều hệ điều hành và phần mềm.

Cập nhật bản vá lỗ hổng bảo mật tháng 6/2018

Microsoft

Ngày 12/6, Microsoft đã phát hành bản vá tháng 6 giải quyết 50 lỗ hổng, trong đó có 11 lỗ hổng được đánh giá nghiêm trọng và 39 lỗ hổng quan trọng. Các lỗ hổng này ảnh hưởng tới hệ điều hành Windows, các trình duyệt web (Internet Explorer, Edge), các phần mềm Office, Exchange, ChakraCore và chương trình Adobe Flash Player.

Đáng lưu ý là lỗ hổng thực thi mã từ xa trong DNSAPI.dll của dịch vụ phân giải tên miền (Domain Name System - DNS) được định danh CVE-2018-8225, gây ảnh hưởng đến các phiên bản từ Windows 7 trở lên và các phiên bản dành cho máy chủ. Lỗ hổng này tồn tại trong việc hệ điều hành Windows xử lý các phản hồi DNS. Từ đó, tin tặc có thể khai thác bằng cách gửi các phản hồi DNS lỗi từ một máy chủ DNS độc hại tới mục tiêu. Nếu khai thác thành công, kẻ tấn công có thể thực thi mã tùy ý với quyền tài khoản trên hệ thống cục bộ.

Trong số các lỗ hổng được vá, một số lỗ hổng đã bị công khai rộng rãi. Thứ nhất, lỗ hổng thực thi mã từ xa trong trình thông dịch của các ngôn ngữ scripting (Scripting Engine) có định danh CVE-2018-8267. Thứ hai, lỗ hổng remote memory-corruption trong công cụ rending của Internet Explorer, bị kích hoạt khi chương trình không xử lý đúng các đối tượng lỗi, cho phép kẻ tấn công thực thi mã tùy ý trong phạm vi người dùng hiện hành đang đăng nhập.

Ngoài ra, có một lỗ hổng bảo mật quan trọng trong Flash Player đã được xử lý định danh CVE-2018-5002. Đây là lỗi tràn bộ đệm dựa trên stack, có thể dẫn đến thực thi mã từ xa. Đáng chú ý, lỗ hổng này được báo cáo đang bị khai thác trong thực tế.

Google

Google đã phát hành bản vá cho Android vào ngày 01/6 với 38 lỗ hổng và ngày 05/6 với 20 lỗ hổng. Trong đó, các lỗ hổng quan trọng nhất liên quan đến nền tảng đa phương tiện, cho phép kẻ tấn công thực thi mã tùy ý bằng một tệp tin thủ công từ quá trình leo thang đặc quyền. Các lỗ hổng tương tự trong nền tảng và hệ thống của Android cũng được vá.

LG, Qualcomm, MediaTek và NVIDIA cũng cung cấp các bản vá quan trọng cho các hệ nhị phân đã phân loại (Assorted Binaries) trên tất cả các thiết bị Android. Đồng thời, Qualcomm và LG cũng vá lỗi trong bộ nạp khởi động (bootloader). Google cũng vá một số lỗi trên các thiết bị Pixel và Nexus.

Apple

Đầu tháng 6, Apple đã phát hành bản cập nhật cho các sản phẩm: hệ điều hành macOS High Sierra, Sierra, El Capitan, trình duyệt Safari, phần mềm iCloud, Safari trên... Trong đó, một số lỗ hổng có thể cho phép kẻ tấn công kiểm soát hệ thống bị ảnh hưởng.

Các lỗ hổng trong nhân của hệ điều hành macOS có thể cho phép kẻ tấn công có thể thực hiện tấn công từ chối dịch vụ từ một tài khoản đặc quyền. Ngoài ra, các lỗ hổng trong Messages và UIKiet có thể dẫn đến từ chối dịch vụ qua cách xử lý một thông báo độc hại được tạo thủ công.

Apple cũng phát hành bản cập nhật cho iOS, watchOS, iTunes và tvOS. Đồng thời, vá một lỗ hổng trong nhân iOS có thể cho phép kẻ tấn công thực thi mã tùy ý với các đặc quyền của nhân.

Thảo Uyên

‹ › ×

Tin liên quan

Thông tin cập nhật bản vá lỗ hổng bảo mật tháng 5/2018

13:00 | 11/06/2018

Trong tháng 5/2018, các hãng công nghệ Microsoft, Google, Apple đã lần lượt đưa ra các bản vá lỗ hổng bảo mật cho các sản phẩm của mình, xử lý nhiều lỗ hổng nghiêm trọng.

Cập nhật bản vá lỗ hổng bảo mật tháng 8/2018

10:00 | 11/09/2018

Trong tháng 8/2018, Microsoft đã phát hành Patch Tuesday giải quyết 60 lỗ hổng. Hãng công nghệ này tiếp tục đứng đầu trong việc phát hành nhiều nhất các bản vá lỗ hổng bảo mật.

Bản vá lỗ hổng Meltdown của Microsoft khiến Windows 7 trở nên kém an toàn hơn

08:00 | 11/04/2018

Mới đây, lỗ hổng Meltdown của CPU đã đặt người dùng vào sự nguy hiểm, nhưng Microsoft còn khiến tình hình càng xấu hơn với các máy tính chạy Windows 7, khi bản vá của hãng này đưa ra cho phép bất kỳ ứng dụng mức người dùng nào đọc nội dung và ghi dữ liệu vào bộ nhớ dành cho nhân của hệ điều hành.

Core Security Technologies công bố các bản vá về Secure Mail Gateway

10:00 | 13/02/2018

Công ty bảo mật Core Security đã đưa ra khuyến cáo về nhiều lỗ hổng đã được tìm thấy trong Secure Mail Gateway của Kaspersky Lab. Nếu chúng không được vá kịp thời có thể dẫn đến việc người dùng bị mất quyền sử dụng tài khoản quản trị.

Lỗ hổng Bluetooth cho phép theo dõi, điều khiển trao đổi dữ liệu trái phép

09:00 | 21/08/2018

Mới đây, các nhà nghiên cứu đã phát hiện một lỗ hổng quan trọng có thể cho phép kẻ tấn công theo dõi và điều khiển trao đổi dữ liệu giữa hai thiết bị đang sử dụng Bluetooth trong một phạm vi nhất định.

Tin cùng chuyên mục

Microsoft phát hành PyRIT - Công cụ xác định rủi ro dành cho các hệ thống AI tạo sinh

15:00 | 01/03/2024

Microsoft đã phát triển Python Risk Identification Tool (PyRIT) như một công cụ hỗ trợ quan trọng cho các đội ngũ Red Teaming trong việc đánh giá và phát hiện rủi ro trong hệ thống AI tạo sinh.

CISA bổ sung các lỗ hổng mới vào danh mục KEV gây ảnh hưởng đến nhiều ứng dụng

13:00 | 23/01/2024

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) bổ sung vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) sáu lỗ hổng ảnh hưởng đến các sản phẩm của Apple, Adobe, Apache, D-Link và Joomla.

Top 10 công cụ AI được sử dụng nhiều nhất trong năm 2023

09:00 | 10/01/2024

Vừa qua, công ty Writterbudy.ai (Mỹ) đã công bố kết quả khảo sát 10 công cụ trí tuệ nhân tạo (AI) được sử dụng nhiều nhất trong năm 2023.

Google dừng hợp tác với nhà cung ứng chip AI Broadcom

10:00 | 05/10/2023

Theo Hãng Reuters đưa tin, Google đã đưa Broadcom ra khỏi danh sách nhà cung ứng chip AI vào đầu năm 2027. Gã khổng lồ đang tìm kiếm kế hoạch tự thiết kế những con chip TPU, nhằm tiết kiệm hàng tỷ USD chi phí mỗi năm.