Cập nhật bản vá lỗ hổng bảo mật tháng 5/2023

16:45 | 25/05/2023
M.H

Trong tháng 5, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft

Trung tuần tháng 5, Microsoft đã phát hành bản cho 38 lỗ hổng bảo mật trong các sản phẩm Microsoft Window và Microsoft Component; Office và Office Component; Visual Studio, Microsoft Edge (Chromium-based); SharePoint Server; SysInternals và Microsoft Teams. Trong đó, có 7 lỗ hổng xếp hạng nghiêm trọng và 31 lỗ hổng xếp hạng quan trọng.

Trong bản vá lần này có lỗ hổng nghiêm trọng định danh CVE-2023-24941 đang bị tích cực khai thác. Lỗ hổng với điểm CVSS 9.8 này cho phép kẻ tấn công có thể thực thi mã độc tùy ý với các quyền nâng cao mà không cần xác thực cũng như các thao tác người dùng. Lỗ hổng này tồn tại từ phiên bản tệp tin hệ thống mạng (NFS) 4.1 của Window. Microsoft khuyến cáo khách hàng nên cập nhật bản vá sớm nhất để tránh các rủi ro đáng tiếc.

Một lỗ hổng đáng chú ý khác định danh CVE-2023-29325 nhắm đến mục tiêu là sản phẩm Microsoft Outlook. Lỗ hổng cho phép kẻ tấn công có khả năng thực thi mã độc tùy ý trên hệ thống bị ảnh hưởng bằng cách gửi đến hệ thống đó một email có định dạng RTF được chế tạo đặc biệt. Vì hướng tấn công của lỗ hổng này là thành phần Preview Pane của Outlook cho nên hệ thống có thể bị tấn công ngay cả khi người dùng chưa đọc email RTF. Microsoft cũng nhận định, mặc dù Outlook là hướng khai thác chính của lỗ hổng này nhưng các ứng dụng Office khác cũng có thể bị ảnh hưởng. Hãng đã cố gắng cung cấp các giải pháp thay thế nhưng để an toàn nhất người dùng nên nhanh chóng cài đặt bản vá này. 

Adobe

Cũng trong tháng 5, Adobe đã phát hành bản vá cho 14 lỗ hổng bảo mật của sản phẩm Substance 3D Painter. Trong đó có 11 lỗ hổng nghiêm trọng và 3 lỗ hổng quan trọng.

Hầu hết các lỗ hổng được vá lần này là loại cho phép tin tặc thực thi mã độc tùy ý trên hệ thống bị ảnh hưởng khi người dùng mở một tệp tin được chế tạo đặc biệt. Không có lỗ hổng nào được báo cáo là đã biết công khai hoặc đang bị tích cực khai thác ở thời điểm phát hành bản vá.

SAP

Ở một động thái khác, SAP đã phát hành bản vá cho 20 lỗ hổng bảo mật, trong đó có 3 lỗ hổng nghiêm trọng, 7 lỗ hổng quan trọng và 10 lỗ hổng trung bình.                      

Đặc biệt, một trong ba lỗ hổng nghiêm trọng lần này với mã định danh CVE-2021-44152 liên quan đến thành phần Reprise License Manager 14.2 được sử dụng với SAP 3D Visual Enterprise License Manager. Reprise License Manager là phần mềm bên thứ ba cung cấp dịch vụ quản lý giấy phép cho các ứng dụng khác nhau. Nó cho phép các nhà cung cấp phần mềm quản lý mô hình cấp phép và cung cấp cho người dùng cách kích hoạt và theo dõi giấy phép của họ. Trước đây, đã có một số lỗ hổng bảo mật được phát hiện trong Reprise License Manager, những kẻ tấn công có thể khai thác các lỗ hổng này để giành quyền truy cập trái phép vào hệ thống hoặc lấy cắp thông tin nhạy cảm. Do đó, việc cài đặt và áp dụng bản vá mới nhất cho thành phần này rất quan trọng.