Cập nhật bản vá lỗ hổng bảo mật tháng 02/2019

13:51 | 26/02/2019

Tính đến giữa tháng 02/2019, ba hãng công nghệ Microsoft, Google và Apple đã phát hành các bản cập nhật bảo mật khắc phục hơn 200 lỗ hổng bảo mật cho các sản phẩm của mình.

Microsoft

Ngày 12/02, Microsoft đã phát hành bản vá Patch Tuesday giải quyết tổng cộng 77 lỗ hổng bảo mật trong hệ điều hành Windows và các sản phẩm khác. Trong số đó, có 20 lỗ hổng được đánh giá nghiêm trọng, 54 lỗ hổng quan trọng và 03 lỗ hổng trung bình. Các lỗ hổng được vá tồn tại trên hệ điều hành Windows, các trình duyệt (Internet Explorer, Edge), trình thực thi ngôn ngữ ChakraCore, nền tảng .NET, các phần mềm Office (Client, Office Services và Web Apps), Exchange Server, Visual Studio, Azure IoT SDK, Dynamics, Team Foundation Server và Visual Studio Code.

Đáng lưu ý, có 04 lỗ hổng được báo cáo đã bị công khai trước thời điểm phát hành bản vá và 01 lỗ hổng đã bị khai thác trong thực tế. Lỗ hổng đã bị khai thác trong thực tế được định danh CVE-2019-0676, thuộc lỗ hổng có mức độ quan trọng. Lỗ hổng này nằm trong phương thức xử lý các đối tượng trong bộ nhớ của trình duyệt Internet Explorer. Bằng việc đánh lừa người dùng truy cập vào một website độc hại, tin tặc có thể kiểm tra các tệp trên hệ thống của nạn nhân, dẫn đến lộ, lọt thông tin. Mặc dù Microsoft chưa công bố bất kỳ thông tin nào về chiến dịch tấn công đã khai thác lỗ hổng này, nhưng có thể nó đã bị khai thác trong các cuộc tấn công có chủ đích.

Cùng ngày, Adobe phát hành bản cập nhật giải quyết tổng cộng 75 lỗ hổng bảo mật trên các sản phẩm của mình, bao gồm các phần mềm Adobe Acrobat Reader DC, Adobe Coldfusion, Creative Cloud Desktop Application và Adobe Flash Player. Trong số đó, có 71 lỗ hổng tồn tại trong phần mềm Adobe Acrobat và Reader. 43 trong số 71 lỗ hổng này được đánh giá nghiêm trọng, hầu hết có thể có phép thực thi mã tùy ý trong phạm vi người dùng hiện tại.

Google

Trong tháng 02, Google đã lần lượt khắc phục 15 lỗ hổng trên Android vào ngày 01/02 và 27 lỗ hổng vào ngày 05/02. Theo báo cáo của Google, chưa có lỗ hổng nào bị khai thác thành công trong thực tế. Các lỗ hổng này nằm trong nền tảng, thư viện, hệ thống, nhân Android, các thành phần Nvidia và Qualcomm.

Trong số các lỗ hổng được vá, lỗ hổng nghiêm trọng nhất liên quan đến nền tảng Android, có thể cho phép tin tặc sử dụng tệp PNG tự tạo để thực thi mã tùy ý từ xa trong phạm vi một quy trình đặc quyền.

Apple 

Người dùng Apple được khuyến cáo cần cập nhật hệ điều hành cho thiết bị của mình sớm nhất có thể. Cụ thể, Apple đã phát hành bản cập nhật iOS 12.1.4 cho người dùng thiết bị di động vào ngày 07/02, xử lý tổng cộng 04 lỗ hổng, cùng với bản cập nhật bổ sung macOS Mojave 10.14.3 cho người dùng máy tính của Apple với 03 bản vá bảo mật.

Trong số các lỗ hổng, lỗ hổng FaceTime là một trong ba lỗ hổng zero-day trên hệ điều hành iOS đã bị tin tặc đang khai thác trong thực tế. Lỗ hổng này có định danh CVE-2019-6223, thường được gọi là "FacePalm", có thể cho phép tin tặc nghe lén các thiết bị của người dùng, ngay cả khi họ không nhận yêu cầu cuộc gọi.