Ghi nhận hơn 2.600 lỗ hổng bảo mật mới trong tháng 12/2023

07:00 | 15/01/2024 | DOANH NGHIỆP

Trong tháng 12, các chuyên gia bảo mật đã ghi nhận 2.677 lỗ hổng bảo mật mới. Trong đó có 48 lỗ hổng bảo mật ở mức thấp, 1.078 lỗ hổng bảo mật ở mức trung bình, 998 lỗ hổng bảo mật ở mức cao và 553 lỗ hổng bảo mật ở mức nghiêm trọng.

Ghi nhận hơn 2.600 lỗ hổng bảo mật mới trong tháng 12/2023

Phân loại lỗ hổng bảo mật phát hiện trong tháng 12/2023 theo mức độ

Với số lượng lỗ hổng không nhỏ, các hãng công nghệ như Microsoft, Apple và Adobe đã khẩn trương phát hành bản vá cho các sản phẩm của mình. Một số thông tin chi tiết như sau:

Microsoft

Trong tháng 12, Microsoft đã phát hành bản vá cho 37 lỗ hổng bảo mật, trong đó có 02 lỗ hổng bảo mật ở mức nghiêm trọng, 23 lỗ hổng ở mức cao, 12 lỗ hổng ở mức trung bình. Hai lỗ hổng bảo mật nghiêm trọng được vá là lỗ hổng có định danh CVE-2023-35618 và CVE-2023-36019.

Lỗ hổng CVE-2023-35618 có thể dẫn đến việc thoát khỏi sandbox của trình duyệt Microsoft Edge (Chromium-based). Kẻ tấn công khai thác thành công lỗ hổng này có thể thực hiện leo thang đặc quyền để tấn công thực thi mã từ xa.

Còn lỗ hổng CVE-2023-36019 tồn tại trên máy chủ web, nhưng các tập lệnh độc hại có thể thực thi trong trình duyệt của nạn nhân trên máy của họ. Kẻ tấn công có thể sử dụng một liên kết, ứng dụng hoặc tệp độc hại để ngụy trang nó thành một liên kết hoặc tệp hợp pháp nhằm lừa nạn nhân.

Apple

Cũng trong tháng 12, Apple đã phát hành 12 bản vá lỗ hổng bảo mật cho các sản phẩm của mình bao gồm: 04 bản vá lỗ hổng trên iOS và iPadOS, 04 bản vá lỗ hổng trên macOS, 02 bản vá lỗ hổng trên trình duyệt web Safari, bản vá lỗ hổng dành cho Apple Watch và Apple TV. Các bản vá này giải quyết nhiều lỗ hổng bảo mật, trong đó có 2 lỗ hổng ghi nhận đang bị khai thác tích cực trong thực tế là CVE-2023-42890 và CVE-2023-42910.

Thứ nhất là lỗ hổng CVE-2023-42890. Lỗ hổng này được tìm thấy trong WebKitGTK, tồn tại khi xử lý nội dung HTML độc hại trong WebKit. Việc xử lý nội dung web có thể dẫn đến hư hỏng bộ nhớ và thực thi mã tùy ý trên thiết bị của nạn nhân.

Thứ hai là CVE-2023-42910, khiến cho thiết bị khi xử lý tệp độc hại có thể dẫn đến việc chấm dứt ứng dụng không mong muốn hoặc cho phép kẻ tấn công thực thi mã tùy ý trên thiết bị của nạn nhân.

Adobe

Ở một động thái khác, Adobe đã phát hành 9 bản vá cho tổng cộng 212 lỗ hổng bảo mật trong các chương trình: Adobe Prelude, Illustrator, InDesign, Dimension, Experience Manager, Substance3D Stager, Substance3D Sampler, Substance3D After Effects và Substance3D Designer.

Đặc biệt, Adobe Experience Manager là ứng dụng tồn tại tới 185 lỗ hổng XSS ở mức độ cao. Bản cập nhật bảo mật của tháng 12 cũng thực hiện vá 13 lỗ hổng nghiêm trọng có thể dẫn đến việc thực thi mã tùy ý trong các chương trình khác của Adobe.

Đặng Vũ Hùng, Trung tâm CNTT&GSANM

‹ › ×

Tin liên quan

Apple phát hành bản vá khẩn cấp cho ba lỗ hổng zero-day mới bị khai thác

09:00 | 03/10/2023

Ngày 22/9 vừa qua, Apple đã phát hành bản cập nhật an ninh khẩn cấp để vá 3 lỗ hổng zero-day đang bị khai thác trong các cuộc tấn công nhắm vào người dùng iPhone và Mac, qua đó nâng tổng số lỗ hổng zero-day được vá trong năm nay lên con số 16. Các nhà nghiên cứu bảo mật tin rằng đó là sản phẩm của các nhà cung cấp phần mềm gián điệp thương mại.

Lỗ hổng Opera Myflaw cho phép tin tặc thực thi tệp bất kỳ trên macOS và Windows

09:00 | 13/02/2024

Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.

VideoLAN phát hành bản cập nhật vá hai lỗ hổng nghiêm trọng trong VLC Media Player

15:00 | 15/11/2023

VideoLAN vừa phát hành phiên bản VLC Media Player 3.0.20, hiện đã có sẵn cho hệ điều hành Windows, Mac và Linux để giải quyết hai lỗ hổng nghiêm trọng.

Cập nhật bản vá lỗ hổng bảo mật tháng 02

09:00 | 29/02/2024

Trong tháng 02/2024, Microsoft, Adobe và Dell lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Ivanti phát hành bản cập nhật vá lỗ hổng Zero-day bị khai thác

10:00 | 03/08/2023

Ngày 25/7, Cơ quan An ninh Quốc gia Na Uy (NSM) xác nhận rằng tin tặc đã lợi dụng lỗ hổng chưa được công khai trong phần mềm quản lý đầu cuối của Ivanti (EndPoint Manager Mobile - EPMM) để tấn công vào hệ thống công nghệ thông tin của 12 bộ thuộc Chính phủ Na Uy. Hiện Công ty sản xuất phần mềm có trụ sở tại Mỹ đã phát hành bản cập nhật để vá lỗ hổng trên.

Cập nhật bản vá lỗ hổng bảo mật tháng 1

15:00 | 31/01/2024

Trong tháng 01, Microsoft, Oracle và VMWare đều phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Tin cùng chuyên mục

Trợ lý giọng nói Alexa “lột xác” với AI tạo sinh

14:00 | 10/03/2025

Ngày 26/2, Amazon trình làng phiên bản Alexa hoàn toàn mới, tích hợp AI tạo sinh đột phá. Nhờ đó, trợ lý giọng nói này có khả năng tương tác linh hoạt, phản hồi thông minh và mang lại trải nghiệm trò chuyện chân thực hơn bao giờ hết.

Elon Musk đánh giá chatbot Grok 3 "thông minh đến đáng sợ"

09:00 | 25/02/2025

Elon Musk tiếp tục gây chấn động giới công nghệ khi úp mở về Grok 3, chatbot được ông miêu tả là "thông minh đến đáng sợ". Với những tuyên bố đầy táo bạo về khả năng vượt trội của Grok 3 so với các mô hình AI khác, Musk dường như đang muốn khẳng định vị thế tiên phong của mình trong cuộc đua phát triển AI.

Apple Store tồn tại 200 ứng dụng có nội dung độc hại đối với trẻ em

14:00 | 27/12/2024

Một báo cáo vừa được công bố cho thấy trên kho ứng dụng App Store của Apple tồn tại hàng trăm ứng dụng độc hại nhưng vẫn được xếp hạng an toàn và cho phép trẻ dưới 12 tuổi cài đặt, sử dụng.

Lỗ hổng CVE-2024-44131 cho phép tin tặc vượt qua hệ thống bảo vệ quyền riêng tư

17:00 | 18/12/2024

Lỗ hổng định danh CVE-2024-44131 vừa được phát hiện có thể vượt qua hệ thống bảo vệ quyền riêng tư Transparency, Consent and Control (TCC) trong iOS và macOS của Apple. Nếu khai thác thành công, tin tặc hoàn toàn có khả năng truy cập trái phép vào thông tin nhạy cảm.

Tin được quan tâm

Mã độc tống tiền - Sự phát triển qua các giai đoạn, kỹ thuật sử dụng và biện pháp giảm thiểu nguy cơ

09:00 | 03/02/2025 | Hacker / Malware
Thực trạng và giải pháp đảm bảo an ninh mạng tại Đan Mạch

09:00 | 02/02/2025 | Chính sách - Chiến lược

Tổng quan về khai thác lỗ hổng mô hình trí tuệ nhân tạo tạo sinh GPT

22:00 | 30/01/2025|Giải pháp khác
DeepSeek - AI của Trung Quốc gây chấn động toàn cầu

08:00 | 29/01/2025|Công nghệ thông tin

Cảnh báo hình thức tấn công mới trong hệ sinh thái Web3

08:00 | 29/01/2025|Hacker / Malware
Khung kiểm toán Tokenomics: Đánh giá và phân tích bền vững của các hệ thống token blockchain (Phần 2)

22:00 | 26/01/2025|Công nghệ PKI

Tin tức sản phẩm

Fortinet mở rộng nền tảng bảo mật OT hướng đến việc tăng cường bảo vệ cơ sở hạ tầng quan trọng

Fortinet - một trong những công ty công nghệ hàng đầu thế giới về bảo mật của Mỹ vừa qua đã công bố các cải tiến mới của nền tảng bảo mật OT nhằm tăng cường bảo vệ cơ sở hạ tầng trọng yếu trước những mối đe dọa an ninh mạng ngày càng tinh vi. Các cải tiến mới không chỉ vượt trội hơn các giải pháp hiển thị OT truyền thống mà còn mang đến khả năng nhận diện mối đe dọa OT chuyên sâu hơn với dịch vụ bảo mật OT của FortiGuard.

17:00 | 17/03/2025
Xuất hiện AI Agent tự chủ đầu tiên trên thế giới
Chatbot AI Yuanbao vượt mặt DeepSeek tại Trung Quốc
TikTok triển khai tính năng kiểm soát thời gian sử dụng đối với thanh thiếu niên