Cập nhật bản vá lỗ hổng bảo mật tháng 04/2020

08:55 | 29/04/2020
T.U

Trong tháng 04/2020, Microsoft, Apple và Google đã phát hành các bản cập nhật bảo mật cho các sản phẩm của mình. Người dùng cần cập nhật bảo mật để tránh rủi ro mất an toàn thông tin cho các thiết bị của mình.

Microsoft

Với việc phát hành bản cập nhật bảo mật tháng 4/2020, Microsoft đã vá 113 lỗ hổng trong các sản phẩm của mình. Trong số các lỗ hổng này, 15 lỗ hổng được đánh giá nghiêm trọng, 93 lỗ hổng quan trọng, 3 lỗ hổng trung bình và 2 lỗ hổng ít nghiêm trọng.

Microsoft đã vá 2 lỗ hổng thực thi mã từ xa đã bị khai thác trong thực tế, liên quan đến Thư viện quản lý định dạng Adobe (Adobe Type Manager Library). Thư viện này do Microsoft hỗ trợ độc quyền, và Adobe cho biết khách hàng của mình không bị nguy hiểm. Hiện tại, không có thông tin về các tấn công khai thác các lỗ hổng này.

2 lỗ hổng này có định danh là CVE-2020-1020 và CVE-2020-0938, đã được Microsoft tiết lộ vài tuần trước đó, nhưng ban đầu hãng chỉ cung cấp cách giải quyết để ngăn chặn việc khai thác. Hãng cho biết, các lỗ hổng này ít có khả năng bị khai thác trên các thiết bị sử dụng Windows 10, nhờ các cơ chế bảo mật có trong phiên bản mới nhất của hệ điều hành này.

Apple

Mới đây, các nhà nghiên cứu đã báo cáo 2 lỗ hổng bảo mật zero-day của Apple iOS ảnh hưởng đến ứng dụng Mail trên iPhone và iPad. Các phiên bản bị ảnh hưởng là iOS 6 và iOS 13.4.1. Apple đã vá cả hai lỗ hổng trong iOS 13.4.5 beta. Bản phát hành cuối cùng của iOS 13.4.5 dự kiến ​​sẽ sớm ra mắt.

Theo các nhà nghiên cứu tại hãng bảo mật ZecOps (Mỹ) đã phát hiện ra các lỗ hổng này, cả hai lỗ hổng được cho là đã bị khai thác trong thực tế bởi một kẻ tấn công có chủ đích từ năm 2018.

Cả hai lỗ hổng đều có thể bị khai thác từ xa bởi kẻ tấn công, bằng việc chỉ cần gửi email đến ứng dụng iOS Mail mặc định trên iPhone hoặc iPad của nạn nhân. Lỗ hổng cho phép tin tặc truy cập dữ liệu từ xa trên thiết bị được nhắm mục tiêu sử dụng phiên bản iOS mới nhất. Các lỗ hổng cũng có thể cho phép kẻ tấn công truy cập vào email được liên kết với ứng dụng Mail mặc định của Apple.

Google

Trong bản vá bảo mật tháng 4/2020, Google đã giải quyết 12 lỗ hổng vào ngày 01/4 và 43 lỗ hổng vào ngày 05/4, trong đó có 4 lỗ hổng nghiêm trọng trong thành phần Hệ thống Android.

Tất cả 4 lỗ hổng này có thể dẫn đến thực thi mã từ xa và đều ảnh hưởng đến Android 8.0, 8.1, 9 và 10, có định danh là CVE-2020-0070, CVE-2020-0071, CVE-2020-0072 và CVE-2020-0073.

Theo Google, lỗ hổng nghiêm trọng nhất trong số tất cả các lỗ hổng được vá là một lỗ hổng trong thành phần Hệ thống, có thể cho phép kẻ tấn công từ xa sử dụng tệp tự tạo đặc biệt để thực thi mã tùy ý, trong phạm vi một quy trình đặc quyền.