Phân loại lỗ hổng bảo mật phát hiện trong tháng 12/2023 theo mức độ
Với số lượng lỗ hổng không nhỏ, các hãng công nghệ như Microsoft, Apple và Adobe đã khẩn trương phát hành bản vá cho các sản phẩm của mình. Một số thông tin chi tiết như sau:
Microsoft
Trong tháng 12, Microsoft đã phát hành bản vá cho 37 lỗ hổng bảo mật, trong đó có 02 lỗ hổng bảo mật ở mức nghiêm trọng, 23 lỗ hổng ở mức cao, 12 lỗ hổng ở mức trung bình. Hai lỗ hổng bảo mật nghiêm trọng được vá là lỗ hổng có định danh CVE-2023-35618 và CVE-2023-36019.
Lỗ hổng CVE-2023-35618 có thể dẫn đến việc thoát khỏi sandbox của trình duyệt Microsoft Edge (Chromium-based). Kẻ tấn công khai thác thành công lỗ hổng này có thể thực hiện leo thang đặc quyền để tấn công thực thi mã từ xa.
Còn lỗ hổng CVE-2023-36019 tồn tại trên máy chủ web, nhưng các tập lệnh độc hại có thể thực thi trong trình duyệt của nạn nhân trên máy của họ. Kẻ tấn công có thể sử dụng một liên kết, ứng dụng hoặc tệp độc hại để ngụy trang nó thành một liên kết hoặc tệp hợp pháp nhằm lừa nạn nhân.
Apple
Cũng trong tháng 12, Apple đã phát hành 12 bản vá lỗ hổng bảo mật cho các sản phẩm của mình bao gồm: 04 bản vá lỗ hổng trên iOS và iPadOS, 04 bản vá lỗ hổng trên macOS, 02 bản vá lỗ hổng trên trình duyệt web Safari, bản vá lỗ hổng dành cho Apple Watch và Apple TV. Các bản vá này giải quyết nhiều lỗ hổng bảo mật, trong đó có 2 lỗ hổng ghi nhận đang bị khai thác tích cực trong thực tế là CVE-2023-42890 và CVE-2023-42910.
Thứ nhất là lỗ hổng CVE-2023-42890. Lỗ hổng này được tìm thấy trong WebKitGTK, tồn tại khi xử lý nội dung HTML độc hại trong WebKit. Việc xử lý nội dung web có thể dẫn đến hư hỏng bộ nhớ và thực thi mã tùy ý trên thiết bị của nạn nhân.
Thứ hai là CVE-2023-42910, khiến cho thiết bị khi xử lý tệp độc hại có thể dẫn đến việc chấm dứt ứng dụng không mong muốn hoặc cho phép kẻ tấn công thực thi mã tùy ý trên thiết bị của nạn nhân.
Adobe
Ở một động thái khác, Adobe đã phát hành 9 bản vá cho tổng cộng 212 lỗ hổng bảo mật trong các chương trình: Adobe Prelude, Illustrator, InDesign, Dimension, Experience Manager, Substance3D Stager, Substance3D Sampler, Substance3D After Effects và Substance3D Designer.
Đặc biệt, Adobe Experience Manager là ứng dụng tồn tại tới 185 lỗ hổng XSS ở mức độ cao. Bản cập nhật bảo mật của tháng 12 cũng thực hiện vá 13 lỗ hổng nghiêm trọng có thể dẫn đến việc thực thi mã tùy ý trong các chương trình khác của Adobe.
Đặng Vũ Hùng, Trung tâm CNTT&GSANM
09:00 | 03/10/2023
09:00 | 13/02/2024
15:00 | 15/11/2023
09:00 | 29/02/2024
10:00 | 03/08/2023
15:00 | 31/01/2024
14:00 | 25/04/2024
Theo cơ quan thông tấn Nga (TASS) đưa tin, tại hội nghị tổ chức ở thủ đô Moscow, Giám đốc điều hành Kaspersky Lab, Eugene Kaspersky, đã giới thiệu mẫu smartphone đầu tiên chạy hệ điều hành KasperskyOS do hãng tự phát triển. Đây cũng là smartphone đầu tiên có phần cứng được thiết kế bởi Aquarius, hoạt động tốt dù đang trong giai đoạn thử nghiệm.
13:00 | 17/04/2024
Các chuyên gia của công ty bảo mật Bitdefender Labs (Hoa Kỳ) tiết lộ các lỗ hổng bảo mật nghiêm trọng của hơn 91.000 Tivi (TV) thông minh LG chạy nền tảng WebOS độc quyền của công ty. Nếu bị khai thác, lỗ hổng này có thể cho phép kẻ tấn công truy cập trái phép vào các chức năng của TV và có thể cả mạng gia đình của người dùng.
13:00 | 26/02/2024
Mới đây, Microsoft đã phát hành bản vá bảo mật hằng tháng (Patch Tuesday) của tháng 2/2024 để giải quyết 73 lỗ hổng, trong đó có 2 lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
16:00 | 18/12/2023
Nhóm tình báo mối đe dọa của Microsoft mới đây vừa cho biết nhóm tin tặc Cold River đã tiếp tục tham gia vào các hoạt động đánh cắp thông tin xác thực chống lại các mục tiêu có lợi ích chiến lược đối với Nga, đồng thời chỉ ra rằng nhóm này cũng cải thiện khả năng trốn tránh phát hiện của mình.
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024