Cập nhật bản vá lỗ hổng bảo mật tháng 5/2023

16:00 | 25/05/2023 | TIN TỨC SẢN PHẨM

Trong tháng 5, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft

Cập nhật bản vá lỗ hổng bảo mật tháng 5/2023

Trung tuần tháng 5, Microsoft đã phát hành bản cho 38 lỗ hổng bảo mật trong các sản phẩm Microsoft Window và Microsoft Component; Office và Office Component; Visual Studio, Microsoft Edge (Chromium-based); SharePoint Server; SysInternals và Microsoft Teams. Trong đó, có 7 lỗ hổng xếp hạng nghiêm trọng và 31 lỗ hổng xếp hạng quan trọng.

Trong bản vá lần này có lỗ hổng nghiêm trọng định danh CVE-2023-24941 đang bị tích cực khai thác. Lỗ hổng với điểm CVSS 9.8 này cho phép kẻ tấn công có thể thực thi mã độc tùy ý với các quyền nâng cao mà không cần xác thực cũng như các thao tác người dùng. Lỗ hổng này tồn tại từ phiên bản tệp tin hệ thống mạng (NFS) 4.1 của Window. Microsoft khuyến cáo khách hàng nên cập nhật bản vá sớm nhất để tránh các rủi ro đáng tiếc.

Một lỗ hổng đáng chú ý khác định danh CVE-2023-29325 nhắm đến mục tiêu là sản phẩm Microsoft Outlook. Lỗ hổng cho phép kẻ tấn công có khả năng thực thi mã độc tùy ý trên hệ thống bị ảnh hưởng bằng cách gửi đến hệ thống đó một email có định dạng RTF được chế tạo đặc biệt. Vì hướng tấn công của lỗ hổng này là thành phần Preview Pane của Outlook cho nên hệ thống có thể bị tấn công ngay cả khi người dùng chưa đọc email RTF. Microsoft cũng nhận định, mặc dù Outlook là hướng khai thác chính của lỗ hổng này nhưng các ứng dụng Office khác cũng có thể bị ảnh hưởng. Hãng đã cố gắng cung cấp các giải pháp thay thế nhưng để an toàn nhất người dùng nên nhanh chóng cài đặt bản vá này.

Adobe

Cũng trong tháng 5, Adobe đã phát hành bản vá cho 14 lỗ hổng bảo mật của sản phẩm Substance 3D Painter. Trong đó có 11 lỗ hổng nghiêm trọng và 3 lỗ hổng quan trọng.

Hầu hết các lỗ hổng được vá lần này là loại cho phép tin tặc thực thi mã độc tùy ý trên hệ thống bị ảnh hưởng khi người dùng mở một tệp tin được chế tạo đặc biệt. Không có lỗ hổng nào được báo cáo là đã biết công khai hoặc đang bị tích cực khai thác ở thời điểm phát hành bản vá.

SAP

Ở một động thái khác, SAP đã phát hành bản vá cho 20 lỗ hổng bảo mật, trong đó có 3 lỗ hổng nghiêm trọng, 7 lỗ hổng quan trọng và 10 lỗ hổng trung bình.

Đặc biệt, một trong ba lỗ hổng nghiêm trọng lần này với mã định danh CVE-2021-44152 liên quan đến thành phần Reprise License Manager 14.2 được sử dụng với SAP 3D Visual Enterprise License Manager. Reprise License Manager là phần mềm bên thứ ba cung cấp dịch vụ quản lý giấy phép cho các ứng dụng khác nhau. Nó cho phép các nhà cung cấp phần mềm quản lý mô hình cấp phép và cung cấp cho người dùng cách kích hoạt và theo dõi giấy phép của họ. Trước đây, đã có một số lỗ hổng bảo mật được phát hiện trong Reprise License Manager, những kẻ tấn công có thể khai thác các lỗ hổng này để giành quyền truy cập trái phép vào hệ thống hoặc lấy cắp thông tin nhạy cảm. Do đó, việc cài đặt và áp dụng bản vá mới nhất cho thành phần này rất quan trọng.

M.H

‹ › ×

Tin liên quan

Hikvision phát hành bản vá cho lỗ hổng bảo mật nghiêm trọng

07:00 | 24/04/2023

Mới đây, Hikvision đã phát hành bản vá cho một lỗ hổng nghiêm trọng ảnh hưởng đến các sản phẩm lưu trữ cụm và Hybrid SAN.

Microsoft sẽ mất gần một năm để vá lỗ hổng Secure Boot mới

09:00 | 05/06/2023

Đầu tháng 5, Microsoft đã phát hành một bản vá cho lỗ hổng bỏ qua Khởi động an toàn (Secure Boot) được sử dụng bởi bộ khởi động BlackLotus được báo cáo vào tháng 3. Lỗ hổng ban đầu định danh CVE-2022-21894, đã được vá vào tháng 1, nhưng bản vá mới cho CVE-2023-24932 đã xử lý một giải pháp thay thế được khai thác tích cực khác cho các hệ thống chạy Windows 10 và 11 và các phiên bản Windows Server cho tới tận phiên bản 2008.

Microsoft phát hành bản vá lỗ hổng bảo mật tháng 3/2023

15:00 | 05/04/2023

Trung tuần tháng 3, Microsoft đã phát hành bản cho 74 lỗ hổng bảo mật. Trong đó, có 6 lỗ hổng xếp hạng nghiêm trọng, 67 lỗ hổng quan trọng và 1 lỗ hổng xếp hạng trung bình. Hai trong số những lỗ hổng đó đã bị tấn công, bao gồm một lỗ hổng nghiêm trọng trong Microsoft Outlook có thể bị khai thác mà không cần bất kỳ sự tương tác nào của người dùng.

Zyxel phát hành bản vá cho lỗ hổng nghiêm trọng ảnh hưởng đến bộ định tuyến

17:00 | 02/03/2023

Nhà sản xuất thiết bị mạng Zyxel (Đài Loan) đã phát hành bản vá cho lỗ hổng nghiêm trọng ảnh hưởng đến bộ định tuyến trong nhà Zyxel 4G LTE. Lỗ hổng này cho phép tin tặc từ xa truy cập vào thiết bị tồn tại lỗ hổng.

Tin cùng chuyên mục

Hơn 91.000 Tivi LG có nguy cơ bị tấn công từ xa do lỗ hổng WebOS

13:00 | 17/04/2024

Các chuyên gia của công ty bảo mật Bitdefender Labs (Hoa Kỳ) tiết lộ các lỗ hổng bảo mật nghiêm trọng của hơn 91.000 Tivi (TV) thông minh LG chạy nền tảng WebOS độc quyền của công ty. Nếu bị khai thác, lỗ hổng này có thể cho phép kẻ tấn công truy cập trái phép vào các chức năng của TV và có thể cả mạng gia đình của người dùng.

Microsoft thành lập trung tâm trí tuệ nhân tạo

17:00 | 12/04/2024

Ngày 8/4, tập đoàn công nghệ Microsoft của Mỹ công bố kế hoạch thành lập một trung tâm trí tuệ nhân tạo mới (AI) tại thủ đô London của Anh. Trung tâm AI của Microsoft sẽ hoạt động dưới sự dẫn dắt của ông Mustafa Suleyman - nhà đồng sáng lập Google DeepMind và là người mới được Microsoft thuê vào tháng trước.

Microsoft và Quantinuum tạo bước đột phá trong lĩnh vực máy tính lượng tử

12:00 | 12/04/2024

Ngày 03/4 vừa qua, Microsoft và công ty điện toán Quantinuum đưa ra thông báo về việc hai công ty này đã đạt được thỏa thuận then chốt trong quá trình phát triển các máy tính lượng tử khả thi về mặt thương mại.

Microsoft phát hành PyRIT - Công cụ xác định rủi ro dành cho các hệ thống AI tạo sinh

15:00 | 01/03/2024

Microsoft đã phát triển Python Risk Identification Tool (PyRIT) như một công cụ hỗ trợ quan trọng cho các đội ngũ Red Teaming trong việc đánh giá và phát hiện rủi ro trong hệ thống AI tạo sinh.