Cập nhật bản vá lỗ hổng bảo mật tháng 6/2023

11:12, 01/07/2023

Trong tháng 6, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft

Cập nhật bản vá lỗ hổng bảo mật tháng 6/2023

Trung tuần tháng 6, Microsoft đã phát hành 69 bản vá cho các lỗ hổng bảo mật trong các sản phẩm Microsoft Window và Microsoft Component; Office và Office Component; SharePoint Server; Microsoft Edge; .NET and Visual Studio; Microsoft Teams; Azure DevOps; Remote Desktop Client và Microsoft Dynamics.

Đáng chú ý trong bản vá lần này có 3 lỗ hổng nghiêm trọng cùng được đánh giá điểm CVSS 9.8 với mã định danh lần lượt là CVE-2023-29363, CVE-2023-32014 và CVE-2023-32015. Các lỗ hổng này cho phép tin tặc có thể thực thi mã từ xa, không cần xác thực trên một hệ thống có dịch vụ message queuing đang chạy trong môi trường máy chủ Pragmatic General Multicast (PGM). Tuy nhiên, do PGM không phải là một thiết lập phổ biến và nó cũng không được kích hoạt mặc định nên 3 lỗ hổng này được báo cáo là chưa bị khai thác tại thời điểm phát hành bản vá.

Một lỗ hổng bảo mật cũng được đánh giá điểm CVSS 9.8 khác cũng được vá trong bản cập nhật lần này có mã định danh CVE-2023-29375. Lỗ hổng này nằm trong chuỗi lỗ hổng bảo mật được đưa ra từ tháng 3 tại chương trình Pwn2Own Vancouver. Lỗ hổng này cho phép tin tặc bỏ qua xác thực của hệ thống trong phương thức ValidateTokenIssuer. Microsoft đã khuyến cáo người dùng nên bật chức năng AMSI để hạn chế lỗ hổng này nhưng không có kiểm thử nào xác nhận hiệu quả của hành động này. Vì vậy, cách tốt nhất là người dùng hãy kiểm tra và cập nhật bản vá này.

Lỗ hổng nâng cao đặc quyền trong Microsoft SharePoint định danh CVE-2023-29357 có thể cho phép tin tặc chiếm đặc quyền của người dùng khác, bao gồm cả quản trị viên. Lỗ hổng được phát hiện bởi nhà nghiên cứu Jang (Nguyễn Tiến Giang) của StarLabs SG.

Một lỗ hổng trên Microsoft Exchange Server cho phép tin tặc thực thi mã từ xa định danh CVE-2023-32031 cho phép  tin tặc có thể kích hoạt mã độc trong ngữ cảnh của tài khoản máy chủ thông qua một cuộc gọi mạng.

Lỗ hổng Type Confusion trong V8 định danh CVE-2023-3079 có thể dẫn đến việc thực thi mã ở cấp độ của người dùng đã đăng nhập. Lỗ hổng này được các nhà nghiên cứu của Chrome phát hiện vào ngày 1/6 và bị khai thác tích cực trong các cuộc tấn công bằng mã độc.

Microsoft cũng đã phát hành nhiều bản cập nhật Microsoft Office cho các lỗ hổng khác cho phép tin tặc sử dụng các tài liệu Excel và OneNote độc hại được tạo đặc biệt để thực thi mã từ xa. Các lỗ hổng này được theo dõi là CVE-2023-33133 (Excel),  CVE-2023-33137 (Excel), CVE-2023-33140 (OneNote), CVE-2023-33131 (Outlook). Các lỗ hổng OneNote và Outlook yêu cầu người dùng nhấp vào liên kết trong tệp hoặc email độc hại.

Adobe

Cập nhật bản vá lỗ hổng bảo mật tháng 6/2023

Cũng trong tháng 6, Adobe phát hành bản vá cho 18 lỗ hổng bảo mật trong các sản phẩm: Adobe Commerce, Substance 3D Designer, Adobe Animate, và Experience Manager. Trong đó, có  4 lỗ hổng xếp hạng nghiêm trọng, 8 lỗ hổng quan trọng và 6 lỗ hổng xếp hạng trung bình. Không có lỗ hổng nào được liệt kê là đã được biết đến công khai hoặc đang bị khai thác công khai tạo thời điểm phát hành bản vá.

Trong bản vá lần này, hầu hết các lỗ hổng xếp hạng nghiêm trọng và quan trọng là những lỗ hổng cho phép thực thi mã tùy ý nếu người dùng mở một tệp tin PDF được chế tạo đặc biệt trên hệ thống bị ảnh hưởng. Điển hình như lỗ hổng có mã định danh CVE-2023-21618 trên sản phẩm Adobe Substance 3D Designer phiên bản 12.4.1 trở về trước, khi người dùng vô ý mở một tệp độc hại, tin tặc có thể thực thi mã tùy ý ở quyền của người dùng hiện tại.

SAP

Cập nhật bản vá lỗ hổng bảo mật tháng 6/2023

Ở một động thái khác, SAP đã phát hành bản vá cho 12 lỗ hổng đang bị tích cực khai thác. Trong đó, có 4 lỗ hổng xếp hạng nghiêm trọng, 7 lỗ hổng quan trọng và 1 lỗ hổng xếp hạng trung bình. Lỗ hổng bảo mật nghiêm trọng có điểm CVSS cao nhất 8.8 được vá lần này định danh CVE-2021-42063. Lỗ hổng này cho phép tin tặc có thể đưa một đoạn script chứa mã độc vào một trang web đang được xem bởi người dùng. Nếu khai thác thành công, tin tặc có thể đánh cắp được các thông tin nhạy cảm như thông tin đăng nhập hoặc các thông tin cá nhân của người dùng. SAP khuyến cáo người dùng cập nhật bản vá nhanh nhất có thể để phòng tránh rủi ro đáng tiếc.

Theo antoanthongtin.vn

(https://antoanthongtin.vn/tin-tuc-san-pham/cap-nhat-ban-va-lo-hong-bao-mat-thang-62023-109095)

TIN LIÊN QUAN
Từ khóa: Lỗ hổng bảo mậtSAPtin tặcAdobeMicrosoft

Bài khác

Triệt phá tội phạm phát tán mã độc chiếm đoạt tài khoản, dữ liệu người dùng Triệt phá tội phạm phát tán mã độc chiếm đoạt tài khoản, dữ liệu người dùng
06:50 am, 27/04/2024
Công an TPHCM lưu ý người dân về các thủ đoạn lừa đảo dịp lễ Công an TPHCM lưu ý người dân về các thủ đoạn lừa đảo dịp lễ
08:41 am, 26/04/2024
Hà Nội tăng cường kiểm tra, giám sát hoạt động kinh doanh trò chơi điện tử có thưởng và casino Hà Nội tăng cường kiểm tra, giám sát hoạt động kinh doanh trò chơi điện tử có thưởng và casino
04:35 pm, 25/04/2024
Nhóm tin tặc Việt Nam bị nghi đánh cắp dữ liệu tài chính ở châu Á Nhóm tin tặc Việt Nam bị nghi đánh cắp dữ liệu tài chính ở châu Á
02:37 pm, 25/04/2024
49 doanh nghiệp bị đình chỉ Giấy phép cung cấp dịch vụ trò chơi điện tử G1 trên mạng 49 doanh nghiệp bị đình chỉ Giấy phép cung cấp dịch vụ trò chơi điện tử G1 trên mạng
11:19 am, 24/04/2024
Giải pháp phòng chống mã độc mã hóa dữ liệu Ransomware Giải pháp phòng chống mã độc mã hóa dữ liệu Ransomware
10:21 am, 24/04/2024
Cảnh báo 6 hình thức lừa đảo trực tuyến đáng chú ý Cảnh báo 6 hình thức lừa đảo trực tuyến đáng chú ý
09:16 am, 24/04/2024
Doanh nghiệp bị tấn công mạng, cảnh báo nguy cơ mất an toàn, an ninh thông tin Doanh nghiệp bị tấn công mạng, cảnh báo nguy cơ mất an toàn, an ninh thông tin
03:00 pm, 23/04/2024
Cảnh giác với thủ đoạn lừa đảo mới về chính sách bảo hiểm Cảnh giác với thủ đoạn lừa đảo mới về chính sách bảo hiểm
08:03 am, 23/04/2024
Yêu cầu các sàn TMĐT, website bán hàng gỡ bỏ các thiết bị kích sóng, gây nhiễu sóng Yêu cầu các sàn TMĐT, website bán hàng gỡ bỏ các thiết bị kích sóng, gây nhiễu sóng
04:39 pm, 22/04/2024

Bài mới nhất

Hỗ trợ kết nối, xúc tiến giao dịch công nghệ Hỗ trợ kết nối, xúc tiến giao dịch công nghệ
Ngành Y tế tăng cường bảo đảm an toàn thông tin, an ninh mạng Ngành Y tế tăng cường bảo đảm an toàn thông tin, an ninh mạng
Nông nghiệp thông minh: Tiềm năng biến đổi của nông nghiệp dựa trên dữ liệu Nông nghiệp thông minh: Tiềm năng biến đổi của nông nghiệp dựa trên dữ liệu
Tuyển sinh 2024: 1 triệu thí sinh thử đăng ký thi tốt nghiệp THPT Tuyển sinh 2024: 1 triệu thí sinh thử đăng ký thi tốt nghiệp THPT
Bà Rịa - Vũng Tàu chính thức ra mắt mini app BR-VT Smart Bà Rịa - Vũng Tàu chính thức ra mắt mini app BR-VT Smart
Chỉ đạo đầu tư bảo mật dữ liệu an toàn thông tin dịp nghỉ lễ 30/4 - 1/5 Chỉ đạo đầu tư bảo mật dữ liệu an toàn thông tin dịp nghỉ lễ 30/4 - 1/5
Apple có thể sử dụng AI Gemini của Google vào Iphone Apple có thể sử dụng AI Gemini của Google vào Iphone
Đẩy mạnh truyền thông chính sách về khoa học công nghệ, đổi mới sáng tạo Đẩy mạnh truyền thông chính sách về khoa học công nghệ, đổi mới sáng tạo
Thu 180 nghìn tỷ đồng thuế từ hoạt động thương mại điện tử Thu 180 nghìn tỷ đồng thuế từ hoạt động thương mại điện tử
Kết nối dữ liệu phục vụ phát triển thương mại điện tử, chống thất thu thuế Kết nối dữ liệu phục vụ phát triển thương mại điện tử, chống thất thu thuế
Triệt phá tội phạm phát tán mã độc chiếm đoạt tài khoản, dữ liệu người dùng Triệt phá tội phạm phát tán mã độc chiếm đoạt tài khoản, dữ liệu người dùng
Xi măng Long Sơn: Xây dựng thương hiệu từ những giá trị vững bền Xi măng Long Sơn: Xây dựng thương hiệu từ những giá trị vững bền
Rạng Đông ký kết hợp tác chiến lược với nhiều đối tác Rạng Đông ký kết hợp tác chiến lược với nhiều đối tác
Linh hoạt tự động trả góp cùng thẻ tín dụng VPBank Linh hoạt tự động trả góp cùng thẻ tín dụng VPBank
Mục tiêu đào tạo 50.000 kỹ sư vi mạch bán dẫn đến năm 2030 vừa là cơ hội vừa là thách thức Mục tiêu đào tạo 50.000 kỹ sư vi mạch bán dẫn đến năm 2030 vừa là cơ hội vừa là thách thức