Cập nhật bản vá lỗ hổng bảo mật tháng 07/2020

09:36 | 05/08/2020

Tháng 07/2020, các hãng Microsoft, Adobe và Oracle đã phát hành các bản cập nhật bảo mật cho các sản phẩm của mình. Người dùng cần khẩn trương cập nhật bản vá để tránh rủi ro mất an toàn thông tin cho các thiết bị, hệ thống công nghệ thông tin.

Microsoft

Ngày 14/7, Microsoft phát hành bản vá cho 123 lỗ hổng liên quan đến các sản phẩm: Microsoft Windows, trình duyệt Internet Explorer và Edge (trong chế độ IE), ChakraCore, Office, Windows Defender, Skype (phiên bản dành cho doanh nghiệp), Visual Studio, .NET Framework. Đây là tháng thứ 5 liên tiếp Microsoft phát hành bản vá cho trên 110 lỗ hổng. Tính đến tháng 7/2020, hãng đã vá tổng cộng có 742 lỗ hổng. 

Trong số 123 lỗ hổng, có 18 lỗ hổng nghiêm trọng và 105 lỗ hổng quan trọng. 7 trong số các lỗ hổng này được báo cáo thông qua chương trình ZDI. May mắn, không có lỗ hổng nào được liệt kê bị tấn công trước thời gian phát hành bản vá. Trong đó, có 1 lỗ hổng bị công khai thông tin trên Internet có định danh CVE-2020-1463.

Một số lỗ hổng đáng lưu ý có thể kể đến: CVE-2020-1350 cho phép thực thi mã từ xa trên máy chủ phân dải tên miền; CVE-2020-1025 cho phép leo thang đặc quyền trong Microsoft Office; CVE-2020-1147 là lỗ hổng cho phép thực thi mã từ xa trên .NetFramework, SharePoint Server, Visual Studio; CVE-2020-1349 là lỗ hổng thực thi mã từ xa trên Microsoft Outlook.

Adobe

Hãng Adobe đã phát hành bản bản vá cho 13 lỗ hổng bảo mật ảnh hưởng đến 5 ứng dụng được sử dụng phổ biến gồm: Creative Cloud Desktop, Media Encoder, Download Manager, Genuine Service và ColdFusion. 4 trong số lỗ hổng này được đánh giá là nghiêm trọng, 9 lỗ hổng còn lại được xếp hạng quan trọng. Hầu hết các lỗ hổng quan trọng đều liên quan đến tấn công leo thang đặc quyền.

Bản cập nhập cho Adobe Download Manager và Media Encoder giải quyết 3 lỗ hổng nghiêm trọng (CVE-2020-9688, CVE-2020-9646, CVE-2020-9650) có thể dẫn đến thực thi mã bất kỳ. Lỗ hổng nghiêm trọng thứ tư (CVE-2020-9682) tồn tại trong Creative Cloud Desktop, cho phép kẻ tấn công tạo và sửa đổi tệp nếu khai thác thành công. Được biết không có lỗ hổng bảo mật nào được vá trong lần cập nhật này của Adobe bị công khai trước đó hay khai thác thành công trong thực tế.

Oracle

Cũng trong tháng 7, Oracle đã phát hành bản cập nhật vá 443 lỗ hổng. Đây là bản cập nhật kỷ lục không chỉ về số lượng mà còn liên quan đến mức độ nghiêm trọng của lỗ hổng. Có khoảng 100 bản vá xử lý các lỗ hổng có điểm CVSS trên 9 (khoảng 70 lỗ hổng có điểm CVSS từ 9,8 trở lên). Trong đó, 2 lỗ hổng nghiêm trọng có thể khai thác từ xa là CVE-2020-14701 và CVE-2020-14606, tồn tại trong các giải pháp SD-WAN Aware và SD-WAN Edge của Oracle. Cả 2 cùng có điểm CVSS là 10.

Bên cạnh đó, các giải pháp Communications của Oracle nhận được số lượng bản vá lớn nhất, gồm 60 bản vá. Trong đó, có 17 lỗ hổng được đánh giá nghiêm trọng, 46 lỗ hổng có thể bị kẻ tấn công khai thác từ xa không cần xác thực.

Có 52 bản vá đã được phát hành để xử lý các lỗ hổng trong phần mềm Fusion Middleware. Trong đó, 48 lỗ hổng có thể bị khai thác từ xa mà không cần xác thực. Nhiều lỗ hổng trong sản phẩm này đã được báo cáo tới Oracle từ 3 năm trước.