Microsoft
Microsoft đã phát hành bản vá bảo mật Patch Tuesday tháng 9 để giải quyết 79 lỗ hổng. Trong đó có 30 lỗ hổng leo thang đặc quyền, 04 lỗ hổng cho phép bỏ qua tính năng bảo mật, 23 lỗ hổng thực thi mã từ xa, 11 lỗ hổng tiết lộ thông tin, 08 lỗ hổng từ chối dịch vụ, 03 lỗ hổng cho phép tấn công giả mạo.
Đáng lưu ý, bản vá Patch Tuesday tháng này đã khắc phục 4 lỗ hổng zero-day đang bị khai thác, bao gồm: CVE-2024-38014 (Lỗ hổng leo thang đặc quyền trên Windows Installer), CVE-2024-38217 (Lỗ hổng cho phép bỏ qua tính năng bảo mật Windows Mark of the Web); CVE-2024-38226 (Lỗ hổng cho phép bỏ qua tính năng bảo mật trong Microsoft Publisher) và CVE-2024-43491 (Lỗ hổng thực thi mã từ xa trong Microsoft Windows Update).
Adobe
Tháng 9, Adobe đã phát hành bản vá để giải quyết 27 lỗ hổng bảo mật trong các sản phẩm Adobe Acrobat và Reader, ColdFusion, Photoshop, Media Encoder, Audition, After Effects, Premier Pro và Illustrator. Trong 27 lỗ hổng có 18 lỗ hổng xếp hạng mức độ nghiêm trọng, 7 lỗ hổng xếp hạng quan trọng và 2 lỗ hổng xếp hạng trung bình.
Bản vá được phát hành lần này trong các sản phẩm ColdFusion với 1 lỗ hổng bảo mật được giải quyết; Adobe Acrobat và Reader, Adobe Premiere Pro, Adobe Audition cùng giải quyết 2 lỗ hổng bảo mật. Adobe Photoshop đã khắc phục 4 lỗ hổng bảo mật. Còn Adobe After Effects và Adobe Media Encoder với cùng 5 lỗ hổng bảo mật đã được giải quyết. Cuối cùng là Adobe Illustrator, giải quyết 6 lỗ hổng bảo mật.
Lỗ hổng với điểm CVSS cao nhất 9,8 mà hãng giải quyết lần này có mã định danh CVE-2024-41874, xảy ra trên sản phẩm Adobe ColdFusion phiên bản 2023.9, 2021.15 và trước đó. Kẻ tấn công có thể khai thác lỗ hổng bằng cách cung cấp một đầu vào được chế tạo đặc biệt cho ứng dụng, khi nó được giải mã hóa tuần tự sẽ có thể dẫn đến thực thi mã tùy ý. Việc tấn công này không yêu cầu bất kỳ tương tác nào của người dùng.
SAP
Ở một động thái khác, SAP đã phát hành bản cập nhật để giải quyết 19 lỗ hổng bảo mật trong đó có 16 lỗ hổng mới và 3 lỗ hổng được phát hành bổ sung so với bản cập nhật phát hành cho tháng 8. Trong 19 lỗ hổng này, có 2 lỗ hổng xếp hạng mức độ nghiêm trọng, 14 lỗ hổng xếp hạng quan trọng và 3 lỗ hổng xếp hạng trung bình.
Lỗ hổng bảo mật nghiêm trọng với điểm CVSS cao nhất mà hãng SAP giải quyết trong bản cập nhật lần này có mã định danh CVE-2024-41730 với 9,8 điểm CVSS. Lỗ hổng bảo mật này đã xuất hiện trong bản vá tháng 8 và được cập nhật bổ sung trong bản vá lần này. Lỗ hổng tồn tại trong sản phẩm SAP BusinessObjects Business Intelligence Platform, nếu Single Signed On được bật trên hệ thống xác thực Enterprise, kẻ tấn công có thể nhận được mã thông báo đăng nhập bằng cách sử dụng REST Endpoint. Kẻ tấn công có thể xâm phạm hoàn toàn hệ thống dẫn đến tác động cao đến tính bảo mật, tính toàn vẹn và tính khả dụng.
Theo khuyến cáo từ các hãng, người dùng cần khẩn trương cập nhật bản vá để phòng tránh các rủi ro gây mất an toàn thông tin.
Thanh Long
17:00 | 10/10/2024
14:00 | 11/10/2024
13:00 | 13/09/2024
10:00 | 28/08/2024
09:00 | 15/08/2024
16:00 | 30/10/2024
10:00 | 17/02/2025
Apache Software Foundation (Hoa Kỳ) vừa phát hiện 3 lỗ hổng nghiêm trọng trong Apache Ambari, nền tảng phổ biến dùng để quản lý các cụm Hadoop một hệ thống mã nguồn mở để lưu trữ và xử lý dữ liệu lớn trên các cụm máy tính phân tán. Những lỗ hổng này có thể khiến hệ thống dễ bị tấn công thực thi mã từ xa và rò rỉ dữ liệu nhạy cảm.
08:00 | 07/02/2025
ByteDance - công ty mẹ TikTok vừa giới thiệu mô hình trí tuệ nhân tạo (AI) mới có tên OmniHuman-1, có khả năng sản xuất video deepfake mà người dùng thông thường gần như không thể phân biệt với video thật.
15:00 | 26/01/2025
Cùng với sự phát triển của công nghệ, các hình thức phá hoại cũng đang trở nên tinh vi và phức tạp hơn, trong đó mã độc trở thành một trong những mối đe dọa hàng đầu. Để đối phó với tình trạng này, hiện nay phần mềm diệt mã độc (PMDMĐ) đang trở thành giải pháp tối ưu nhất cho người dùng cá nhân. Tuy nhiên, một vấn đề đáng lo ngại đang nổi lên khi chính những phần mềm này lại trở thành mục tiêu mà tin tặc có thể lợi dụng để lây nhiễm mã độc vào máy tính của người dùng. Bài báo sẽ phân tích tổng quan các chiến thuật mà tin tặc sử dụng để xâm nhập vào hệ thống thông qua PMDMĐ, đồng thời, tác giả cũng đề xuất các biện pháp nhằm giảm thiểu rủi ro từ mối nguy hại này.
14:00 | 07/01/2025
Mới đây, nhiều người sử dụng phần mềm diệt virus Norton cho biết, họ nhận được các tin nhắn thông báo gia hạn gói đăng ký thành công, giao dịch đã được thanh toán tự động. Tuy nhiên, theo cảnh báo của các chuyên gia, đây là những tin nhắn email giả mạo, được các đối tượng sử dụng để đánh lừa nạn nhân là những người không có nhu cầu tiếp tục sử dụng phần mềm.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Ngày 07/3/2025, Google đã công bố sẽ trao 11,8 triệu USD tiền thưởng cho 660 nhà nghiên cứu đã báo cáo lỗ hổng bảo mật thông qua các chương trình Bug Bounty của công ty vào năm 2024.
14:00 | 19/03/2025
