Microsoft
Microsoft đã phát hành bản vá bảo mật để giải quyết 79 lỗ hổng. Trong đó có 30 , 04 lỗ hổng cho phép bỏ qua tính năng bảo mật, 23 lỗ hổng thực thi mã từ xa, 11 lỗ hổng tiết lộ thông tin, 08 lỗ hổng từ chối dịch vụ, 03 lỗ hổng cho phép tấn công giả mạo.
Đáng lưu ý, bản vá Patch Tuesday tháng này đã khắc phục 4 lỗ hổng zero-day đang bị khai thác, bao gồm: CVE-2024-38014 (Lỗ hổng leo thang đặc quyền trên Windows Installer), CVE-2024-38217 (Lỗ hổng cho phép bỏ qua tính năng bảo mật Windows Mark of the Web); CVE-2024-38226 (Lỗ hổng cho phép bỏ qua tính năng bảo mật trong Microsoft Publisher) và CVE-2024-43491 (Lỗ hổng thực thi mã từ xa trong Microsoft Windows Update).
Adobe
Tháng 9, Adobe đã phát hành bản vá để giải quyết 27 trong các sản phẩm Adobe Acrobat và Reader, ColdFusion, Photoshop, Media Encoder, Audition, After Effects, Premier Pro và Illustrator. Trong 27 lỗ hổng có 18 lỗ hổng xếp hạng mức độ nghiêm trọng, 7 lỗ hổng xếp hạng quan trọng và 2 lỗ hổng xếp hạng trung bình.
Bản vá được phát hành lần này trong các sản phẩm ColdFusion với 1 lỗ hổng bảo mật được giải quyết; Adobe Acrobat và Reader, Adobe Premiere Pro, Adobe Audition cùng giải quyết 2 lỗ hổng bảo mật. Adobe Photoshop đã khắc phục 4 lỗ hổng bảo mật. Còn Adobe After Effects và Adobe Media Encoder với cùng 5 lỗ hổng bảo mật đã được giải quyết. Cuối cùng là Adobe Illustrator, giải quyết 6 lỗ hổng bảo mật.
Lỗ hổng với điểm CVSS cao nhất 9,8 mà hãng giải quyết lần này có mã định danh CVE-2024-41874, xảy ra trên sản phẩm Adobe ColdFusion phiên bản 2023.9, 2021.15 và trước đó. Kẻ tấn công có thể khai thác lỗ hổng bằng cách cung cấp một đầu vào được chế tạo đặc biệt cho ứng dụng, khi nó được giải mã hóa tuần tự sẽ có thể dẫn đến thực thi mã tùy ý. Việc tấn công này không yêu cầu bất kỳ tương tác nào của người dùng.
SAP
Ở một động thái khác, SAP đã phát hành bản cập nhật để giải quyết 19 lỗ hổng bảo mật trong đó có 16 lỗ hổng mới và 3 lỗ hổng được phát hành bổ sung so với bản cập nhật phát hành cho tháng 8. Trong 19 lỗ hổng này, có 2 lỗ hổng xếp hạng mức độ nghiêm trọng, 14 lỗ hổng xếp hạng quan trọng và 3 lỗ hổng xếp hạng trung bình.
Lỗ hổng bảo mật nghiêm trọng với điểm CVSS cao nhất mà hãng SAP giải quyết trong bản cập nhật lần này có mã định danh CVE-2024-41730 với 9,8 điểm CVSS. Lỗ hổng bảo mật này đã xuất hiện trong bản vá tháng 8 và được cập nhật bổ sung trong bản vá lần này. Lỗ hổng tồn tại trong sản phẩm SAP BusinessObjects Business Intelligence Platform, nếu Single Signed On được bật trên hệ thống xác thực Enterprise, kẻ tấn công có thể nhận được mã thông báo đăng nhập bằng cách sử dụng REST Endpoint. Kẻ tấn công có thể xâm phạm hoàn toàn hệ thống dẫn đến tác động cao đến tính bảo mật, tính toàn vẹn và tính khả dụng.
Theo khuyến cáo từ các hãng, người dùng cần khẩn trương cập nhật bản vá để phòng tránh các rủi ro gây mất an toàn thông tin.
M.H
13:00 | 13/09/2024
10:00 | 28/08/2024
09:00 | 15/08/2024
16:00 | 04/10/2024
Sự kiện Security Bootcamp 2024 diễn ra trong hai ngày 28 - 29/9 đã thu hút sự tham gia của đông đảo các chuyên gia, kỹ sư an ninh mạng hàng đầu và các lãnh đạo tổ chức, doanh nghiệp. Trong vai trò nhà tài trợ Bạc, Trellix cùng đồng tài trợ Mi2 JSC đã mang đến sự kiện những giải pháp bảo mật hiệu quả, tận dụng tối đa tiềm năng của AI trong bối cảnh trí tuệ nhân tạo đang phát triển như vũ bão.
07:00 | 23/09/2024
Ngày 12/9, các cơ quan quản lý của Liên minh châu Âu cho biết, họ đang vào cuộc điều tra mô hình ngôn ngữ Pathways 2 (PaLM2) - một trong những mô hình trí tuệ nhân tạo của Google do lo ngại về việc tuân thủ các quy tắc bảo mật dữ liệu GDPR.
16:00 | 24/07/2024
Mới đây Oracle đã phát hành bản vá cho WebLogic Server để khắc phục một lỗ hổng bảo mật nghiêm trọng có định danh là CVE-2024-21181 với điểm CVSS 9.8.
09:00 | 19/07/2024
Bộ Thông tin và Truyền thông (TT&TT) đã ban hành văn bản công bố danh sách các nền tảng số quốc gia do các Bộ, ngành triển khai trên toàn quốc để phục vụ công tác khai thác, tránh trùng lặp. Trong đó có nền tảng số quốc gia Hệ thống chứng thực chữ ký số chuyên dùng công vụ của Ban Cơ yếu Chính phủ - Bộ Quốc phòng đang triển khai thực hiện Quản lý thuê bao và yêu cầu chứng thực; Phục vụ kiểm tra trạng thái chứng thư chữ ký số trực tuyến; Cấp dấu thời gian phục vụ ký số, xác thực; Hạ tầng phục vụ ký số trên thiết bị di động (SIM-PKI); Hạ tầng phục vụ ký số tập trung.
Sự kiện Security Bootcamp 2024 diễn ra trong hai ngày 28 - 29/9 đã thu hút sự tham gia của đông đảo các chuyên gia, kỹ sư an ninh mạng hàng đầu và các lãnh đạo tổ chức, doanh nghiệp. Trong vai trò nhà tài trợ Bạc, Trellix cùng đồng tài trợ Mi2 JSC đã mang đến sự kiện những giải pháp bảo mật hiệu quả, tận dụng tối đa tiềm năng của AI trong bối cảnh trí tuệ nhân tạo đang phát triển như vũ bão.
16:00 | 04/10/2024