Ghi nhận hơn 2.600 lỗ hổng bảo mật mới trong tháng 12/2023

07:00 | 15/01/2024 | DOANH NGHIỆP

Trong tháng 12, các chuyên gia bảo mật đã ghi nhận 2.677 lỗ hổng bảo mật mới. Trong đó có 48 lỗ hổng bảo mật ở mức thấp, 1.078 lỗ hổng bảo mật ở mức trung bình, 998 lỗ hổng bảo mật ở mức cao và 553 lỗ hổng bảo mật ở mức nghiêm trọng.

Ghi nhận hơn 2.600 lỗ hổng bảo mật mới trong tháng 12/2023

Phân loại lỗ hổng bảo mật phát hiện trong tháng 12/2023 theo mức độ

Với số lượng lỗ hổng không nhỏ, các hãng công nghệ như Microsoft, Apple và Adobe đã khẩn trương phát hành bản vá cho các sản phẩm của mình. Một số thông tin chi tiết như sau:

Microsoft

Trong tháng 12, Microsoft đã phát hành bản vá cho 37 lỗ hổng bảo mật, trong đó có 02 lỗ hổng bảo mật ở mức nghiêm trọng, 23 lỗ hổng ở mức cao, 12 lỗ hổng ở mức trung bình. Hai lỗ hổng bảo mật nghiêm trọng được vá là lỗ hổng có định danh CVE-2023-35618 và CVE-2023-36019.

Lỗ hổng CVE-2023-35618 có thể dẫn đến việc thoát khỏi sandbox của trình duyệt Microsoft Edge (Chromium-based). Kẻ tấn công khai thác thành công lỗ hổng này có thể thực hiện leo thang đặc quyền để tấn công .

Còn lỗ hổng CVE-2023-36019 tồn tại trên máy chủ web, nhưng các tập lệnh độc hại có thể thực thi trong trình duyệt của nạn nhân trên máy của họ. Kẻ tấn công có thể sử dụng một liên kết, ứng dụng hoặc tệp độc hại để ngụy trang nó thành một liên kết hoặc tệp hợp pháp nhằm lừa nạn nhân.

Apple

Cũng trong tháng 12, Apple đã phát hành 12 bản vá lỗ hổng bảo mật cho các sản phẩm của mình bao gồm: 04 bản vá lỗ hổng trên iOS và iPadOS, 04 bản vá lỗ hổng trên macOS, 02 bản vá lỗ hổng trên trình duyệt web Safari, bản vá lỗ hổng dành cho Apple Watch và Apple TV. Các bản vá này giải quyết nhiều lỗ hổng bảo mật, trong đó có 2 lỗ hổng ghi nhận đang bị khai thác tích cực trong thực tế là CVE-2023-42890 và CVE-2023-42910.

Thứ nhất là lỗ hổng CVE-2023-42890. Lỗ hổng này được tìm thấy trong WebKitGTK, tồn tại khi xử lý nội dung HTML độc hại trong WebKit. Việc xử lý nội dung web có thể dẫn đến hư hỏng bộ nhớ và thực thi mã tùy ý trên thiết bị của nạn nhân.

Thứ hai là CVE-2023-42910, khiến cho thiết bị khi xử lý tệp độc hại có thể dẫn đến việc chấm dứt ứng dụng không mong muốn hoặc cho phép kẻ tấn công trên thiết bị của nạn nhân.

Adobe

Ở một động thái khác, Adobe đã phát hành 9 bản vá cho tổng cộng 212 lỗ hổng bảo mật trong các chương trình: Adobe Prelude, Illustrator, InDesign, Dimension, Experience Manager, Substance3D Stager, Substance3D Sampler, Substance3D After Effects và Substance3D Designer.

Đặc biệt, Adobe Experience Manager là ứng dụng tồn tại tới 185 lỗ hổng XSS ở mức độ cao. Bản cập nhật bảo mật của tháng 12 cũng thực hiện vá 13 lỗ hổng nghiêm trọng có thể dẫn đến việc thực thi mã tùy ý trong các chương trình khác của Adobe.

Đặng Vũ Hùng, Trung tâm CNTT&GSANM

‹ › ×

Tin liên quan

Apple phát hành bản vá khẩn cấp cho ba lỗ hổng zero-day mới bị khai thác

09:00 | 03/10/2023

Ngày 22/9 vừa qua, Apple đã phát hành bản cập nhật an ninh khẩn cấp để vá 3 lỗ hổng zero-day đang bị khai thác trong các cuộc tấn công nhắm vào người dùng iPhone và Mac, qua đó nâng tổng số lỗ hổng zero-day được vá trong năm nay lên con số 16. Các nhà nghiên cứu bảo mật tin rằng đó là sản phẩm của các nhà cung cấp phần mềm gián điệp thương mại.

Lỗ hổng Opera Myflaw cho phép tin tặc thực thi tệp bất kỳ trên macOS và Windows

09:00 | 13/02/2024

Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.

VideoLAN phát hành bản cập nhật vá hai lỗ hổng nghiêm trọng trong VLC Media Player

15:00 | 15/11/2023

VideoLAN vừa phát hành phiên bản VLC Media Player 3.0.20, hiện đã có sẵn cho hệ điều hành Windows, Mac và Linux để giải quyết hai lỗ hổng nghiêm trọng.

Cập nhật bản vá lỗ hổng bảo mật tháng 02

09:00 | 29/02/2024

Trong tháng 02/2024, Microsoft, Adobe và Dell lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Ivanti phát hành bản cập nhật vá lỗ hổng Zero-day bị khai thác

10:00 | 03/08/2023

Ngày 25/7, Cơ quan An ninh Quốc gia Na Uy (NSM) xác nhận rằng tin tặc đã lợi dụng lỗ hổng chưa được công khai trong phần mềm quản lý đầu cuối của Ivanti (EndPoint Manager Mobile - EPMM) để tấn công vào hệ thống công nghệ thông tin của 12 bộ thuộc Chính phủ Na Uy. Hiện Công ty sản xuất phần mềm có trụ sở tại Mỹ đã phát hành bản cập nhật để vá lỗ hổng trên.

Cập nhật bản vá lỗ hổng bảo mật tháng 1

15:00 | 31/01/2024

Trong tháng 01, Microsoft, Oracle và VMWare đều phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Tin cùng chuyên mục

Microsoft ngừng hỗ trợ giao thức VPN PPTP và L2TP trên Windows Server

10:00 | 18/10/2024

Microsoft thông báo đã chính thức ngừng sử dụng giao thức PPTP (Point-to-Point Tunneling Protocol) và giao thức L2TP (Layer 2 Tunneling Protocol) trong các phiên bản Windows Server tương lai, khuyến nghị quản trị viên chuyển sang các giao thức khác có khả năng bảo mật cao hơn.

SpaceX dự định đầu tư 1,5 tỷ USD vào Việt Nam

10:00 | 01/10/2024

Trong cuộc gặp với Tổng Bí thư, Chủ tịch nước Tô Lâm tại New York vào ngày 25/9, Tim Hughes, Phó Chủ tịch cấp cao của SpaceX, tập đoàn hàng đầu thế giới cung cấp dịch vụ tàu vũ trụ, phóng vệ tinh và truyền thông vệ tinh đã đánh giá cao tiềm năng phát triển dịch vụ Internet vệ tinh tại Việt Nam và cho biết dự định đầu tư 1,5 tỷ USD vào Việt Nam trong thời gian tới.

Microsoft ngừng phát triển dịch vụ WSUS

07:00 | 27/09/2024

Microsoft chính thức thông báo, dịch vụ Windows Server Update Services (WSUS) hiện đã ngừng hoạt động, nhưng hãng vẫn có kế hoạch duy trì chức năng hiện tại và tiếp tục phát hành các bản cập nhật thông qua kênh này.

Google cảnh báo lỗ hổng Android nghiêm trọng đang bị khai thác

07:00 | 10/09/2024

Google vừa phát đi cảnh báo về một lỗ hổng bảo mật nghiêm trọng trên hệ điều hành Android, hiện đang bị khai thác tích cực. Nếu khai thác thành công, lỗ hổng này sẽ cho phép kẻ tấn công leo thang đặc quyền trên thiết bị mà không cần bất kỳ quyền thực thi bổ sung nào.