Cập nhật bản vá lỗ hổng bảo mật tháng 8/2023

09:51 | 14/09/2023

Trong tháng 8, Microsoft, Adobe và Apple đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft 

Trung tuần tháng 8, Microsoft đã phát hành danh sách bản vá với 84 lỗ hổng an toàn thông tin trong các sản phẩm của mình. Bản phát hành tháng này đặc biệt nhấn mạnh vào các lỗ hổng an toàn thông tin có mức ảnh hưởng cao và nghiêm trọng sau:

- Lỗ hổng an toàn thông tin CVE-2023-38181 trong Microsoft Exchange Server cho phép hacker thực hiện tấn công Spoofing. Hacker có thể khai thác lỗ hổng này để vượt qua bản vá cho một lỗ hổng đã bị khai thác trong thực tế là CVE-2022-41082.

- Lỗ hổng định danh CVE-2023-21709 trong Microsoft Exchange Server cho phép đối tượng tấn công thực hiện tấn công nâng cao đặc quyền

- 04 lỗ hổng CVE-2023-35368, CVE-2023-38185, CVE-2023-35388, CVE-2023-38182 trong Microsoft Exchange Server cho phép đối tượng tấn công thực thi mã từ xa. Điều này cho thấy Microsoft Exchange Server vẫn luôn là mục tiêu hàng đầu được các đối tượng tấn công có chủ đích nhắm đến. Vì vậy, để đảm bảo an toàn thông tin cho hệ thống của các cơ quan, tổ chức, các đơn vị cần rà soát lỗ hổng liên quan đến Microsoft Exchange Server để phát hiện và có phương án xử lý kịp thời, đồng thời tăng cường giám sát nhằm giảm thiểu nguy cơ bị tấn công thông qua các lỗ hổng này. 

- 03 lỗ hổng an toàn thông tin CVE-2023-35385, CVE-2023-36910, CVE-2023-36911 trong Microsoft Message Queuing cho phép đối tượng tấn công thực thi mã từ xa. 

- 02 lỗ hổng an toàn thông tin CVE-2023-29328, CVE-2023-29330 trong Microsoft Teams cho phép đối tượng tấn công thực thi mã từ xa.  

- Lỗ hổng an toàn thông tin CVE-2023-36895 trong Microsoft Outlook cho phép đối tượng tấn công thực thi mã từ xa.  

- Lỗ hổng an toàn thông tin CVE-2023-36896 trong Microsoft Excel cho phép đối tượng tấn công thực thi mã từ xa.

- Lỗ hổng an toàn thông tin CVE-2023-35371 trong Microsoft Office cho phép đối tượng tấn công thực thi mã từ xa.

Adobe

Cũng trong tháng 8, Adobe phát hành 4 bản vá cho 37 lỗ hổng bảo mật trong Acrobat Reader, Commerce, Dimension và XMP Toolkit SDK. Đáng chú ý, lỗ hổng nghiêm trọng trong Adobe Commerce có điểm CVSS 9.1 với mã định danh CVE-2023-38208. Lỗ hổng tồn tại trong quy trình vô hiệu hóa không đúng cách các thành phần đặc biệt được sử dụng trong hệ điều hành.

Một lỗ hổng khác có mã định danh CVE-2023-29320 được phát hiện trong Acrobat Reader. Đây là lỗ hổng cho phép bỏ qua tính năng bảo mật dẫn đến thực thi mã tùy ý. Không có lỗ hổng nào được cho là biết đến công khai hoặc bị tấn công tại thời điểm phát hành bản vá.

Apple 

Ở một động thái khác, Apple đã phát hành các bản cập nhật iOS 15.3.1, iPadOS 15.3.1 và macOS để vá lỗ hổng mới trên iPhone, iPad và Mac.

Đáng chú ý, lỗ hổng có mã định danh CVE-2022-22620 cho phép tin tặc khai thác để tấn công các thiết bị của Apple, thực thi mã nhị phân trên những thiết bị bị ảnh hưởng.

Danh sách các thiết bị bị ảnh hưởng khá rộng, do lỗ hổng tác động đến cả mẫu máy cũ và mới, bao gồm: iPhone 6s trở lên, iPad Pro (tất cả phiên bản), iPad Air 2 trở lên, iPad gen 5 trở lên, iPad mini 4 trở lên, iPod touch gen 7 trở lên, máy tính Mac cài hệ điều hành macOS Monterey.

Mặc dù lỗ hổng này dường như chỉ được khai thác trong các cuộc tấn công có chủ đích, nhưng người dùng Apple vẫn nên cài đặt bản cập nhật sớm nhất để có thể ngăn chặn khả năng bị tấn công.

Từ đầu năm tới nay, Apple đã vá 3 lỗ hổng zero-day. Trong tháng 1/2022, hãng đã vá 2 lỗ hổng cho phép kẻ tấn công thực thi mã nhị phân (CVE-2022-22587) và theo dõi hoạt động duyệt web, danh tính người dùng theo thời gian thực (CVE-2022-22594). Chúng tác động đến iPhone 6s trở lên, máy tính Mac chạy hệ điều hành macOS Monterey và nhiều mẫu iPad khác.

Có thể thấy, Apple đang đối mặt với vô số lỗ hổng khác đang đe dọa thiết bị iOS, iPadOS và macOS. Để cập nhật, người dùng truy cập vào Settings > General > Software Update để tải về phiên bản cập nhật mới nhất.