Microsoft
Trung tuần tháng 6, Microsoft phát hành bản vá Patch Tuesday giải quyết 51 lỗ hổng bảo mật. Trong đó, có 25 lỗ hổng leo thang đặc quyền, 18 lỗ hổng thực thi mã từ xa, 3 lỗ hổng tiết lộ thông tin và 5 lỗ hổng từ chối dịch vụ.
Đáng lưu ý, lỗ hổng zero-day được khắc phục trong bản vá tháng này đã bị công khai, nhưng không có báo cáo nào cho thấy lỗ hổng khai thác thành công trong thực tế. Lỗ hổng này chính là cuộc tấn công “Keytrap” nhằm vào giao thức DNS đã được tiết lộ trước đó.
Cụ thể, lỗ hổng có định danh CVE-2023-50868 liên quan đến việc xác thực DNSSEC. Quá đó, kẻ tấn công có thể khai thác giao thức DNSSEC chuẩn, bằng cách sử dụng quá nhiều tài nguyên trên trình phân giải, gây ra tình trạng từ chối dịch vụ cho người dùng hợp pháp.
Bên cạnh đó, các lỗ hổng khác được vá trong tháng này gồm nhiều lỗ hổng thực thi mã từ xa của Microsoft Office; lỗ hổng trên Microsoft Outlook RCE có thể bị khai thác Preview Panel của Outlook. Đáng lưu ý là lỗ hổng được đánh giá nghiêm trọng tồn tại trong sản phẩm Microsoft Message Queuing.
Microsoft cũng đã khắc phục 7 lỗ hổng leo thang đặc quyền trong Windows Kernel, có thể cho phép kẻ tấn công cục bộ giành được đặc quyền hệ thống.
Adobe
Trong tháng 5, Adobe phát hành bản vá để giải quyết 165 lỗ hổng bảo mật trong các sản phẩm Adobe Cold Fusion, Photoshop, Experience Manager, Audition, Media Encoder, FrameMaker Publishing Server, Adobe Commerce, Substance 3D Stager, Creative Cloud Desktop và Acrobat Android. Trong 165 lỗ hổng có 13 lỗ hổng xếp hạng mức độ nghiêm trọng, 152 lỗ hổng xếp hạng mức độ quan trọng.
Ở bản cập nhật lần này, hãng Adobe giải quyết 2 lỗ hổng bảo mật nghiêm trọng của sản phẩm Adobe Framemaker Publishing. Trong đó, một lỗ hổng có điểm CVSS tuyệt đối là 10, định danh CVE-2024-30299 xuất hiện trên các phiên bản 2020.3, 2020.2 và trước đó. Nếu bị khai thác thành công, tin tặc có thể tuy cập trái phép hoặc nâng cao đặc quyền trong ứng dụng mà không yêu cầu bất kỳ tương tác nào của người dùng. Không có lỗ hổng nào được báo cáo là đang bị tích cực khai thác hoặc đang được công bố công khai.
SAP
Ở một động thái khác, SAP đã phát hành bản cập nhật để giải quyết 13 lỗ hổng bảo mật. Trong đó, có 2 lỗ hổng xếp hạng nghiêm trọng, 8 lỗ hổng quan trọng và 3 lỗ hổng trung bình.
Lỗ hổng bảo mật nghiêm trọng với điểm CVSS cao nhất mà hãng SAP giải quyết trong bản cập nhật lần này là lỗ hổng thuộc loại XSS (Cross-Site Scripting). Lỗ hổng có mã định danh CVE-2024-37177, xuất hiện trên sản phẩm SAP Financial Consolidation, nếu bị khai thác thành công sẽ có thể gây ra tác động đáng kể đến tính bảo mật và toàn vẹn dữ liệu của ứng dụng.
SAP khuyến cáo người dùng hãy nhanh chóng cập nhật bản vá lần này để tránh những rủi ro đáng tiếc.
Như Chiến
(tổng hợp)
08:00 | 11/07/2024
08:00 | 22/07/2024
16:00 | 12/06/2024
08:00 | 17/07/2024
07:00 | 21/06/2024
13:00 | 17/06/2024
10:00 | 15/07/2024
07:00 | 16/09/2024
Cơ quan An ninh Mạng và Cơ sở Hạ tầng của Hoa Kỳ (CISA) đã phát đi cảnh báo khẩn cấp về một lỗ hổng bảo mật đang bị khai thác trong hệ thống quản lý tài nguyên doanh nghiệp mã nguồn mở Apache OFBiz. Lỗ hổng có định danh CVE-2024-38856, đã được thêm vào danh sách các lỗ hổng đã bị khai thác của CISA.
09:00 | 09/08/2024
Trong thời đại kỹ thuật số, các ứng dụng hẹn hò đã dần trở thành một phần của cuộc sống hiện đại, đặc biệt là với thế hệ trẻ. Những ứng dụng này là kho dữ liệu khổng lồ chứa các thông tin nhạy cảm của hàng triệu người dùng. Cũng bắt đầu từ đây xuất hiện những lo ngại về nguy cơ dữ liệu người dùng bị rò rỉ cũng như các ứng dụng hẹn hò trở thành mảnh đất màu mỡ để các tin tặc có thể khai thác. Bài viết này sẽ phân tích các mối đe dọa bảo mật phổ biến và các giải pháp thực tế để bảo vệ dữ liệu người dùng trong các ứng dụng hẹn hò hiện nay.
14:00 | 31/07/2024
Các chuyên gia vừa phát hiện, một lỗ hổng zero-day có tên EvilVideo trên Telegram cho phép kẻ tấn công gửi tệp APK độc hại dưới dạng video tới người dùng Android.
08:00 | 22/07/2024
Nền tảng DevOps GitLab phát hành bản cập nhật bảo mật quan trọng để giải quyết 6 lỗ hổng trong GitLab Community Edition (CE) và Enterprise Edition (EE), bao gồm một lỗ hổng được đánh giá là nghiêm trọng.
Ngày 11/9, Chính phủ Anh và công ty Amazon cho biết Tập đoàn công nghệ của Mỹ có kế hoạch đầu tư 8 tỷ bảng (10,5 tỷ USD) vào Anh trong năm 2025 để xây dựng và vận hành các trung tâm dữ liệu. Động thái này được kỳ vọng sẽ đóng góp đáng kể vào nền kinh tế Anh, với tiềm năng tạo ra hơn 14.000 việc làm và đóng góp 14 tỷ bảng vào GDP.
09:00 | 20/09/2024