Microsoft
Trung tuần tháng 4/2023, Microsoft đã phát hành bản cho 97 lỗ hổng bảo mật trong các sản phẩm Microsoft Window và Microsoft Component; Office và Office Component; SharePoint Server; Windows Hyper-V; PostScript Printer và Microsoft Dynamics. Trong đó, có 7 lỗ hổng xếp hạng nghiêm trọng và 90 lỗ hổng quan trọng. Đáng chú ý, gần một nửa số lỗ hổng bảo mật cho phép thực thi mã từ xa.
Trong bản vá lần này có định danh CVE-2023-21554 (điểm CVSS 9.8) đang bị tích cực khai thác. Lỗ hổng cho phép tin tặc có thể thực thi mã tùy ý với các quyền nâng cao trên các máy chủ bị ảnh hưởng có bật dịch vụ Message Queuing. Dịch vụ sẽ bị tắt theo mặc định nhưng nó thường được sử dụng bởi nhiều ứng dụng trung tâm liên lạc. Dịch vụ này lắng nghe cổng TCP 1801 theo mặc định, do đó việc chặn cổng này sẽ ngăn chặn việc bị tấn công từ bên ngoài. Tuy nhiên, không rõ việc chặn cổng này có ảnh hưởng gì đến hoạt động của hệ thống không. Lựa chọn tốt nhất là người dùng hãy kiểm tra và cập nhật bản vá này.
Một lỗ hổng bảo mật đáng chú ý khác cũng được vá trong bản cập nhật lần này có mã định danh CVE-2023-28252 (điểm CVSS 7.8). Lỗ hổng này tương tự với lỗ hổng bảo mật zero-day đã được vá trên cùng sản phẩm vào 2 tháng trước. Tuy nhiên, có vẻ như bản vá của lỗ hổng zero-day đã không hiệu quả và tin tặc đã tìm ra phương thức để vượt qua được bản vá đã phát hành 2 tháng trước. Lỗ hổng này cho phép khai thác bằng cách kết hợp với lỗi thực thi mã để phát tán các phần mềm độc hại hoặc mã độc tống tiền. Đây là lỗ hổng đang bị tích cực khai thác trong tháng 4/2023, vì vậy, người dùng hãy nhanh chóng kiểm tra và cập nhật bản vá.
Adobe
Cũng trong tháng 4/2023, phát hành bản vá cho 56 lỗ hổng bảo mật trong các sản phẩm: Acrobat Reader, Adobe Digital Editions, InCopy, Substance 3D Designer, Substance 3D Stager, và Adobe Dimension. Trong đó, có 49 lỗ hổng xếp hạng nghiêm trọng và 7 lỗ hổng quan trọng. Không có lỗ hổng nào được liệt kê là đang bị khai thác công khai tạo thời điểm phát hành bản vá.
Trong bản vá lần này, phần cập nhật cho Acrobat Reader là quan trọng nhất. Có đến 14 lỗ hổng cho phép thực thi mã tùy ý nếu người dùng mở một tệp tin PDF được chế tạo đặc biệt trên hệ thống bị ảnh hưởng. Điển hình như lỗ hổng có mã định danh CVE-2023-26406, trên các phiên bản Acrobat Reader 23.001.20093 và 20.005.30441, khi người dùng vô ý mở một tệp độc hại, tin tặc có thể thực thi mã tùy ý ở quyền của người dùng hiện tại.
Apple
Ở một động thái khác, Apple đã cho 2 lỗ hổng đang bị tích cực khai thác. Lỗ hổng CVE-2023-28205 là một lỗ hổng loại Use-After-Free trong Webkit và có thể tìm thấy trong các sản phẩm Safari, macOS và iOS, có thể dẫn đến việc thực thi mã ở cấp độ của người dùng đã đăng nhập. Nó sẽ cần kết hợp với việc nâng cấp quyền để có thể tiếp quản hệ thống bị ảnh hưởng. Lỗ hổng thứ hai định danh CVE-2023-28206 là lỗ hổng cho phép nâng cấp quyền trong thành phần IOSurfaceAccelerator của macOS và iOS. Apple không tuyên bố rõ ràng rằng 2 lỗ hổng này được khai thác cùng nhau nhưng chúng được báo cáo bởi cùng một nhà nghiên cứu vào cùng một thời điểm.
M.H
07:00 | 24/04/2023
15:00 | 05/04/2023
07:00 | 19/05/2023
10:00 | 23/02/2023
13:00 | 18/10/2024
Ngày 17/10, tại Đại học Kinh tế Quốc dân, Viện Công nghệ Blockchain và Trí tuệ Nhân tạo (ABAII), Hiệp hội Blockchain Việt Nam (VBA) tổ chức sự kiện ABAII Unitour 14 với chủ đề “Blockchain và AI: Làm chủ công nghệ, làm chủ tương lai”. Chương trình đã thu hút sự tham gia của gần 1.000 sinh viên, phần lớn đến từ các ngành công nghệ, tài chính như Trường Công nghệ – Đại học Kinh tế Quốc dân.
13:00 | 21/08/2024
Microsoft thông báo rằng ứng dụng đồ họa Paint 3D sẽ ngừng hoạt động vào cuối năm nay và sẽ bị xóa khỏi Microsoft Store vào tháng 11.
13:00 | 01/08/2024
Một tính năng mới của Google Chrome mới được phát hành, về việc cảnh báo khi tải xuống các tệp được bảo vệ bằng mật khẩu có khả năng độc hại và cung cấp hệ thống cảnh báo cải tiến để tải xuống các tệp an toàn hơn.
15:00 | 19/07/2024
Microsoft vừa gặp sự cố lớn, khiến người dùng trên toàn thế giới không thể truy cập vào nền tảng đám mây của hãng. Đồng thời, nhiều hãng hàng không cũng phải huỷ chuyến bay.
Từ chủ trương đúng, ngành Xuất bản đã ứng dụng công nghệ triệt để trong mọi khâu, giúp ngành sách có bước chuyển mình trong kỷ nguyên số.
11:00 | 24/10/2024