Trung tuần tháng 9, Microsoft phát hành bản vá cho 59 lỗ hổng bảo mật. Trong 24 lỗ hổng thực thi mã từ xa được khắc phục, Microsoft chỉ phân loại 05 lỗ hổng mức độ nghiêm trọng và bị khai thác trong thực tế, trong đó 04 lỗi thực thi mã từ xa và lỗ hổng nâng cao đặc quyền của Dịch vụ Azure Kubernetes.
Số lượng lỗi trong từng loại lỗ hổng được liệt kê bao gồm: 03 lỗ hổng vượt qua các giải pháp bảo mật; 24 lỗ hổng thực thi mã từ xa; 09 lỗ hổng tiết lộ thông tin; 03 lỗ hổng từ chối dịch vụ; 05 lỗ hổng tấn công giả mạo (Spoofing); 05 lỗ hổng của Chrome.
Tổng số 59 lỗ hổng được vá không bao gồm 05 lỗ hổng Microsoft Edge (Chromium), 02 lỗ hổng không phải của Microsoft trong Electron và Autodesk.
Đáng lưu ý, bản vá cập nhật tháng này của Microsoft khắc phục hai lỗ hổng zero-day, được tiết lộ công khai và tin tặc khai thác trong các cuộc tấn công. Lỗ hổng thứ nhất định danh CVE-2023-36802 là lỗ hổng bảo mật cho phép thực hiện tấn công nâng cao đặc quyền qua proxy dịch vụ phát trực tuyến của Microsoft. Hãng công nghệ này đã vá một lỗ hổng nâng cao đặc quyền cục bộ được khai thác tích cực, cho phép kẻ tấn công giành được đặc quyền hệ thống.
Lỗ hổng còn lại định danh CVE-2023-36761 tiết lộ thông tin của Microsoft Word. Microsoft đã sửa một lỗ hổng bị khai thác tích cực có thể được sử dụng để lấy cắp mã băm NTLM khi mở tài liệu, kể cả trong khung xem trước. Các mã băm NTLM này có thể bị bẻ khóa hoặc sử dụng trong các cuộc tấn công NTLM Relay để giành quyền truy cập vào tài khoản.
Cũng trong tháng 9, Mozilla phát hành bản cập nhật bảo mật để giải quyết lỗ hổng zero-day nghiêm trọng trong Firefox và Thunderbird đã được khai thác rộng rãi trong thực tế. Lỗ hổng có mã định danh CVE-2023-4863 là lỗ hổng tràn bộ đệm heap ở định dạng WebP có thể dẫn đến việc thực thi mã tùy ý khi xử lý một hình ảnh độc hại có chủ đích.
Theo mô tả trên Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (NVD) của Mỹ, lỗ hổng của Mozilla có thể cho phép kẻ tấn công từ xa thực hiện việc ghi bộ nhớ ngoài giới hạn thông qua một trang HTML được tạo thủ công.
Các nhà nghiên cứu tại Bộ phận Kiến trúc và Kỹ thuật bảo mật của Apple (SEAR) và Đại học Toronto đã được ghi nhận là đã báo cáo lỗ hổng bảo mật này. Nó đã được giải quyết trong các phiên bản Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 và Thunderbird 115.2.2.
Ở một động thái khác, Adobe phát hành bản cập nhật giải quyết 05 lỗ hổng trong Adobe Acrobat, ReaderAdobe, Experience Manager và Adobe Connect. Trong đó có lỗ hổng zero-day định danh CVE-2023-26369 cho phép thực thi mã từ xa trên các máy mục tiêu. Lỗ hổng này được cho là ảnh hưởng đến Acrobat và Acrobat Reader DC, Acrobat 2020 và Acrobat Reader 2020, trên cả hệ thống Windows và macOS
Phương Anh
09:00 | 03/10/2023
15:00 | 20/09/2023
16:00 | 06/09/2023
07:00 | 14/10/2024
Theo cảnh báo từ các chuyên gia Công ty An ninh mạng Bkav, hiện có hai website giả mạo ứng dụng Zalo có địa chỉ là zaloweb.me và zaloweb.vn do tin tặc tạo ra để lừa người dùng với hàng triệu lượt truy cập mỗi ngày.
12:00 | 03/10/2024
Ngày 30/9, Adobe chính thức ra mắt tính năng hỗ trợ tiếng Việt dành cho phần mềm Photoshop trên máy tính, giúp người dùng Việt thỏa sức sáng tạo mà không gặp trở ngại về ngôn ngữ.
10:00 | 02/10/2024
Trong tháng 9, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
08:00 | 26/09/2024
GitLab đã phát hành bản cập nhật bảo mật để giải quyết lỗ hổng vượt qua xác thực (bypass) SAML nghiêm trọng ảnh hưởng đến các bản cài đặt tự quản lý (self-managed) của GitLab Community Edition (CE) và Enterprise Edition (EE).
Ngày 31/10, tại Hà Nội, Viện Công nghệ Blockchain và Trí tuệ Nhân tạo ABAII (thành viên của Hiệp hội Blockchain Việt Nam) đã tổ chức Hội thảo “Blockchain và AI: Làm chủ công nghệ, làm chủ tương lai” trong khuôn khổ Triển lãm Quốc tế Điện tử và Thiết bị thông minh IEAE 2024, thu hút hơn 500 doanh nghiệp từ 50 quốc gia, hơn 20 trường đại học và gần 10.000 lượt khách tham dự.
07:00 | 01/11/2024