Cập nhật bản vá lỗ hổng bảo mật tháng 12/2021

17:00 | 23/12/2021 | TIN TỨC SẢN PHẨM

Trung tuần tháng 12/2021, các bản cập nhật bảo nhật của các hãng công nghệ lớn như Microsoft, Adobe và Google đã được phát hành. Quản trị viên và người dùng cần lưu ý cập nhật các bản vá kịp thời để tránh các rủi ro mất an toàn thông tin.

Microsoft

Cập nhật bản vá lỗ hổng bảo mật tháng 12/2021

Trung tuần tháng 12, Microsoft đã phát hành bản vá cho 67 lỗ hổng bảo mật trong Microsoft Windows, Windows Components, ASP.NET Core, Visual Studio, Azure Bot Framework SDK, Internet Storage Name Service, Defender for IoT, Edge (dựa trên Chromium), Microsoft Office, Office Components, Máy chủ SharePoint, PowerShell, Remote Desktop Client, Windows Hyper-V, Quản lý thiết bị di động Windows, Trình quản lý kết nối truy cập từ xa Windows, TCP/IP và Windows Update Stack. Trong đó, có 7 lỗ hổng được đánh giá nghiêm trọng và 60 lỗ hổng được đánh giá quan trọng.

Một lỗ hổng quan trọng đang bị khai thác có định danh CVE-2021-43890. Đây là lỗ hổng giả mạo trình cài đặt Window AppX. Tin tặc có thể tạo một tệp đính kèm sau đó thuyết phục người dùng mở tệp đó ra để tải về các phần mềm độc hại Emotet, Trickbot, Bazaloader. Sau khi bị khai thác, lỗ hổng sẽ cấp cho kẻ tấn công các đặc quyền nâng cao, đặc biệt khi tài khoản của nạn nhân có đặc quyền quản trị trên hệ thống.

Adobe

Trong tháng 12, Adobe đã phát hành bản vá giải quyết 60 lỗ hổng trong Adobe Audition, Lightroom, Media Encoder, Premiere Pro, Prelude, Dimension, After Effects, Photoshop, Connect, Experience Manager và Premiere Rush. Trong đó, có 28 lỗ hổng nghiêm trọng, 12 lỗ hổng quan trọng và 20 lỗ hổng ở mức độ trung bình.

Một lỗ hổng nghiêm trọng liên quan đến phần mềm xử lý tài liệu XML có định danh CVE-2021-40722 có điểm CVSS:9.8. Việc khai thác thành công lỗ hổng này có thể giúp kẻ tấn công truy cập tuỳ ý vào các tệp trên hệ thống.

Google

Trong một động thái khác, Google đã phát hành bản vá cập nhật cho Google Chrome trên Windows, Linux và Mac. Bản vá lần này sửa chữa 05 lỗ hổng, trong đó có 01 lỗ hổng nghiêm trọng và 04 lỗ hổng quan trọng.

Một lỗ hổng zero-day đang bị khai thác có định danh CVE-2021-4102, đây là lỗ hổng use-after-free trong công cụ JavaScript Chrome V8. Kẻ tấn công thường khai thác các lỗ hổng use-after-free để thực thi mã tùy ý trên máy tính chạy phiên bản Chrome tồn tại lỗ hổng hoặc qua mặt cơ chế sandbox của trình duyệt.

Một lỗ hổng nghiêm trọng khác định danh CVE-2021-4098. Đây là lỗ hổng xác thực thiếu dữ liệu khi xử lý nội dung HTML trong Mojo (khung giao tiếp truyền thông điệp). Kẻ tấn công lừa nạn nhân mở một trang web được thiết kế đặc biệt và thực thi mã tùy ý trên hệ thống mục tiêu. Việc khai thác thành công lỗ hổng này có thể giúp kẻ tấn công xâm phạm hoàn toàn hệ thống của nạn nhân.

Hương Mai

‹ › ×

Tin liên quan

Cập nhật bản vá lỗ hổng bảo mật tháng 11/2021

16:00 | 03/12/2021

Trong tháng 11/2021, Microsoft, Adobe và SAP đã phát hành các bản cập nhật bảo mật cho các sản phẩm của mình. Người dùng cần khẩn trương cập nhật bản vá để phòng tránh rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 1/2022

10:00 | 21/01/2022

Trung tuần tháng 01/2022, các bản cập nhật bảo mật của các hãng công nghệ lớn như Microsoft, Adobe và Mozilla đã được phát hành. Quản trị viên và người dùng cần lưu ý cập nhật các bản vá kịp thời để tránh các rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 02/2022

08:00 | 24/02/2022

Trong tháng 02/2022, Microsoft, Adobe và Mozilla đã phát hành bản cập nhật bảo mật cho các sản phẩm của mình. Người dùng cần khẩn trương cập nhật bản vá để phòng tránh rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 10/2021

09:00 | 02/11/2021

Trung tuần tháng 10/2021, Microsoft, Adobe và Mozilla đã phát hành các bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Apple phát hành bản vá khẩn cấp cho iPhone và iPad

16:00 | 19/10/2021

Ngày 11/10, Apple đã phát hành một bản cập nhật bảo mật cho iPhone và iPad để giải quyết một lỗ hổng nghiêm trọng được cho rằng đang bị khai thác, có thể trở thành lỗ hổng zero-day thứ 17 mà Apple đã xử lý trong các sản phẩm đầu năm 2021.

Tin cùng chuyên mục

23 ứng dụng trên Android đang theo dõi người dùng Hàn Quốc

17:00 | 26/11/2021

23 ứng dụng trên Android được phát hiện đang theo dõi các công dân Hàn Quốc để lấy thông tin nhạy cảm và giành quyền điều khiển thiết bị từ xa.

Viettel Cyber Security: Chuyển đổi số phải gắn với chuyển đổi cách làm an toàn thông tin

17:00 | 19/11/2021

Chuyển đổi số là xu hướng tất yếu, con đường sống còn của ngân hàng Việt Nam nói riêng và trên thế giới nói chung, các tổ chức phải đẩy nhanh quá trình dịch chuyển sang mô hình ngân hàng thông minh để tồn tại và phát triển, tuy nhiên, đi kèm đó là những rủi ro về an toàn, an ninh thông tin.

Lừa đảo trên Internet: tại sao người dùng vẫn liên tục mắc phải?

10:00 | 04/11/2021

Internet là môi trường tuyệt vời để cập nhật thông tin về những gì đang diễn ra hàng ngày. Tin tức, câu chuyện về người nổi tiếng, cập nhật thông tin từ bạn bè... thường có sẵn trên Internet, nhất là qua mạng xã hội. Tuy nhiên, ngoài những thông tin hữu ích thì có rất nhiều tin giả, các hình thức lừa đảo người dùng dẫn đến nhiều rủi ro đáng tiếc.

Các lỗ hổng trong hệ quản lý mạng di động tập trung của Nokia và Oracle ảnh hưởng đến mạng di động 4G và 5G

09:00 | 15/10/2021

Một nhóm các nhà nghiên cứu thuộc Telecom Italia Red Team Research (RTR) đã tìm ra ba lỗ hổng thuộc các phần mềm quản lý mạng di động tập trung, gồm 02 lỗ hổng thuộc phần mềm quản lý mạng di động tập trung của Nokia NetAct và 01 lỗ hổng thuộc phần mềm Oracle GlassFish. Theo các chuyên gia đánh giá, các lỗ hổng trên được xác định ảnh hưởng lớn đến việc vận hành và đảm bảo an toàn thông tin đối với việc vận hành của mạng di động 4G và 5G.