Microsoft, Adobe và Apple cập nhật bản vá lỗ hổng bảo mật tháng 8/2022
Trung tuần tháng 08/2022, các bản cập nhật bảo mật của các hãng công nghệ lớn như Microsoft, Adobe và Apple đã được phát hành. Quản trị viên và người dùng cần lưu ý cập nhật các bản vá kịp thời để tránh các rủi ro mất an toàn thông tin.
Adobe
Cũng trong tháng 8, Adobe phát hành bản vá cho 26 lỗ hổng bảo mật trong các sản phẩm của mình. Trong đó, có 15 lỗ hổng nghiêm trọng, 9 lỗ hổng quan trọng và 2 lỗ hổng trung bình.
Đáng chú ý, lỗ hổng định danh CVE-2022-34253 được đánh giá với số điểm CVSS cao nhất mà Adobe từng phát hành là 9,1. Lỗ hổng này khai thác việc vô hiệu hoá các thành phần đặc biệt không chính xác trong các file XML của phần mềm Commerce, điều này cho phép tin tặc thay đổi cú pháp, nội dung hoặc các lệnh trong file XML trước khi nó được xử lý bởi hệ thống.
Microsoft
Trung tuần tháng 8, Microsoft đã phát hành bản vá cho 121 lỗ hổng bảo mật trong các sản phẩm của mình. Trong đó, có 17 lỗ hổng xếp hạng nghiêm trọng, 102 lỗ hổng quan trọng, 1 lỗ hổng trung bình và 1 lỗ hổng xếp hạng thấp.
Đáng lưu ý, trong bản vá lần này là lỗ hổng nghiêm trọng trong Microsoft Windows Support Diagnostic Tool (MSDT) định danh CVE-2022-34713. Đây là lỗ hổng thuộc hình thức tấn công kĩ nghệ xã hội, khi người dùng ấn vào một đường dẫn hoặc mở một tệp dữ liệu, MSDT sẽ được gọi thông qua gia thức URL, khi đó một đoạn mã độc sẽ được cho phép thực thi từ xa.
Apple
Trong một động thái khác, Apple đã phát hành bản vá cho 37 lỗ hổng bảo mật. Đáng lưu ý, lỗ hổng nghiêm trọng định danh CVE-2022-2294, đây là lỗ hổng zero-day trong bộ nhớ của thành phần WebRTC mà Google đã tiết lộ vào đầu tháng này. Tuy nhiên, không có bằng chứng nào cho thấy tin tặc đã khai thác lỗ hổng nhắm mục tiêu vào người dùng iOS, macOS và Safari. Người dùng thiết bị Apple được khuyến cáo nên cập nhật lên các phiên bản hệ điều hành sớm nhất để tránh rủi ro mất an toàn thông tin.
Trong bản vá lần này, Apple đã phát hành bản vá cho 2 lỗ hổng zero-day khác định danh CVE-2022-32893 và CVE-2022-32894. Trong đó, lỗ hổng CVE-2022-32893 là lỗ hổng của Webkit cho phép thực thi đoạn mã độc khi trình duyệt xử lý một nội dung web đặc biệt được tạo thủ công. Lỗ hổng CVE-2022-32894 là lỗ hổng của nhân hệ điều hành, cho phép các ứng dụng độc hại thực thi đoạn mã tuỳ ý ở quyền cao nhất. Cả 2 lỗ hổng đều được khắc phục trong iOS 15.6.1, iPadOS 15.6.1 và macOS Monterey 12.5.
Minh Thuỳ (T/h)