Cập nhật bản vá lỗ hổng bảo mật tháng 5/2021

13:35 | 28/05/2021

Vào trung tuần tháng 5/2021, Microsoft, Adobe và Mozilla đã phát hành các bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft

Trong tháng 5, Microsoft đã phát hành bản vá cho 55 lỗ hổng bảo mật trên các sản phẩm: Microsoft Windows, .NET Core và Visual Studio, Internet Explorer (IE), Microsoft Office, SharePoint Server, Open-Source Software, Hyper-V, Skype for Business, Microsoft Lync và Exchange Server. Trong đó, có 4 lỗ hổng được đánh giá là nghiêm trọng, 50 lỗ hổng được đánh giá quan trọng và 1 lỗ hổng mức trung bình.

Lỗ hổng nghiêm trọng nhất trong bản vá lần này của Microsoft có định danh CVE-2021-28476, 9,9 điểm CVSS. Đây là lỗ hổng thực thi mã từ xa trên Hyper-V. Microsoft lưu ý rằng kẻ tấn công có nhiều khả năng lạm dụng lỗ hổng này để thực hiện tấn công từ chối dịch vụ dưới dạng kiểm tra lỗ hổng hơn là thực thi mã. Điều này có thể thấy được độ phức tạp của cuộc tấn công khai thác lỗ hổng này.

Theo Microsoft, 3 lỗ hổng định danh CVE-2021-31204, CVE-2021-31207 và CVE-2021-31200 đã được biết đến công khai, nhưng rất may chúng không bị khai thác trước khi phát hành bản vá.

Adobe

Adobe đã phát hành bản vá giải quyết 46 lỗ hổng bảo mật trong Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat và Reader, Magento, Creative Cloud Desktop, Media Encoder, After Effects, Medium và Animate. Trong đó, 26 lỗ hổng được đánh giá là nghiêm trọng, 14 lỗ hổng được đánh giá quan trọng và 6 lỗ hổng được đánh giá ở mức độ trung bình.

Đáng lưu ý là lỗ hổng 0-day nghiêm trọng có định danh CVE-2021-28550. Đây là một lỗ hổng thực thi mã từ xa ảnh hưởng trên phần mềm Adobe Acrobat và Reader đang được khai thác tích cực trên các thiết bị Windows. Kẻ tấn công có thể thực thi mã, cài đặt các ứng dụng độc hại và giành quyền truy cập hoàn toàn vào máy mục tiêu.

Mozilla

Mozilla đã phát hành bản vá lỗ hổng bảo mật để khắc phục 5 lỗ hổng trên các sản phẩm Thunderbird 78.10.1, Firefox ESR 78.10.1, Firefox 88.0.1 và Hubs Cloud. Trong đó, có 2 lỗ hổng nghiêm trọng, 1 lỗ hổng quan trọng và 2 lỗ hổng trung bình.

Lỗ hổng nghiêm trọng trên Hubs Cloud có định danh CVE-2021-29954, cho phép kẻ tấn công truy cập vào các URL nội bộ, bao gồm cả dịch vụ siêu dữ liệu.

Một lỗ hổng nghiêm trọng khác có định danh CVE-2021-29953 ảnh hưởng đến trình duyệt Firefox trên Android, có thể cho phép kẻ tấn công thực hiện các cuộc tấn công Cross-Site Scripting (XSS).