Cập nhật bản vá lỗ hổng bảo mật tháng 03/2021
Microsoft
Trong tháng 3, Microsoft đã phát hành bản vá cho 89 lỗ hổng bảo mật trong các sản phẩm: Microsoft Windows, Azure và Azure DevOps, Azure Sphere, Internet Explorer và Edge (EdgeHTML), Exchange Server, Office, Office Services và Web Apps, SharePoint Server, Visual Studio và Windows Hyper-V.
Trong số 89 lỗ hổng được vá có 14 lỗ hổng được đánh giá nghiêm trọng, 75 lỗ hổng còn lại được đánh giá quan trọng. Theo Microsoft, có hai lỗ hổng được biết công khai và 5 lỗ hổng khác đang bị tấn công tích cực tại thời điểm phát hành bản vá.
Đáng lưu ý là lỗ hổng nghiêm trọng có định danh CVE-2021-26867 là lỗ hổng thực thi mã từ xa tồn tại trong Windows Hyper-V. Lỗ hổng này cho phép kẻ tấn công đã được xác thực thực thi mã trên máy chủ Hyper-V. CVE-2021-26867 có điểm CVSS 9.9 liên quan đến hệ thống tệp Plan-9.
Adobe
Trong bản cập nhật tháng 3, Adobe đã phát hành bản vá cho 17 lỗ hổng bảo mật trong Photoshop, Animate, Adobe Connect, Creative Cloud Desktop và Framemaker. Trong đó, 9 lỗ hổng được xếp hạng nghiêm trọng và 8 lỗ hổng còn lại xếp hạng quan trọng.
Bản vá lần này đã sửa 1 lỗ hổng Out-of-Bounds có thể dẫn đến thực thi mã từ xa trên Framemaker. Trong 3 lỗ hổng trên Creative Cloud, thì có 2 lỗ hổng có thể dẫn đến việc thực thi mã, lỗ hổng còn lại có thể cho phép leo thang đặc quyền.
Các sản phẩm Adobe Connect được vá 4 lỗ hổng. Trong đó, 1 lỗ hổng được xếp hạng nghiêm trọng có thể dẫn đến việc thực thi mã tùy ý.
Cùng với đó, sản phẩm Animate cũng được vá 2 lỗ hổng bảo mật nghiêm trọng và 5 lỗ hổng bảo mật quan trọng. Các lỗ hổng nghiêm trọng do lỗi tràn bộ đệm có thể cho phép thực thi mã, các lỗ hổng quan trọng có thể cho phép tiết lộ thông tin.
Một sản phẩm khác của Adobe là Photoshop cũng được vá 2 lỗ hổng nghiêm trọng dẫn đến việc thực thi mã. May mắn, không có lỗ hổng nào được biết đến công khai hoặc bị tấn công trước khi phát hành bản vá.
Apple
Tháng 3 này, Apple đã đưa ra bản cập nhật bảo mật cho macOS Big Sur, iOS, iPadOS, watchOS và Safari để khắc phục một lỗ hổng duy nhất trong WebKit có định danh CVE-2021-1844. Đây là lỗ hổng trên bộ nhớ có thể bị lợi dụng để thực thi mã tùy ý. Lỗ hổng này đã được phát hiện bởi Clément Lecigne thuộc nhóm phân tích mối đe dọa của Google và Alison Huffman nhà nghiên cứu lỗ hổng trình duyệt của Microsoft. Không may, lỗ hổng này được ghi nhận đã bị tin tặc khai thác trong thực tế.
Mai Hương