Cập nhật bản vá lỗ hổng bảo mật tháng 12/2022
Microsoft
Trung tuần tháng 12, Microsoft đã phát hành bản vá cho 52 lỗ hổng bảo mật trong các sản phẩm Microsoft Window và Microsoft Component; Aruze; Office và Office Component; SysInternals; Microsoft Edge (Chromium-based); SharePoint Server và .NET framework. Trong đó, có 6 lỗ hổng xếp hạng nghiêm trọng, 43 lỗ hổng quan trọng và 3 lỗ hổng trung bình.
Đáng lưu ý, trong bản vá lần này có lỗ hổng nghiêm trọng trong Microsoft PowerShell định danh CVE-2022-41076. Nếu bị khai thác thành công lỗ hổng sẽ cho phép người dùng đã được xác thực thoát khỏi phiên cấu hình từ xa với PowerShell và thực thi các lệnh không được cho phép trên hệ thống bị ảnh hưởng.
Adobe
Cũng trong tháng 12, Adobe phát hành bản vá cho 37 lỗ hổng bảo mật đều xếp hạng quan trọng trong các sản phẩm của mình. Trong đó, 32 lỗ hổng bảo mật tồn tại trong sản phẩm Adobe Experience Manager. Các sản phẩm Adobe Illustrator và Adobe Campaign với lần lượt 4 lỗ hổng và 1 lỗ hổng.
Hầu hết các lỗ hổng được vá lần này cho phép tin tặc có thể thực thi đoạn mã độc thông qua cross-site script (XSS). Không có lỗ hổng nào được liệt kê là đã biết công khai và đang được khai thác tích cực tại thời điểm Adobe phát hành bản vá.
Apple
Tháng 12, Apple đã phát hành bản vá cho một lỗ hổng bảo mật zero-day trên tất cả các sản phẩm của mình là iOS, iPadOS, macOS, tvOS và trình duyệt web Safari. Lỗ hổng có định danh CVE-2022-42856 này được gã khổng lồ công nghệ mô tả là sự cố của phần lõi trình duyệt (Webkit) có thể được kích hoạt khi xử lý một nội dung được chế tạo đặc biêt, dẫn đến có thể thực thi mã tuỳ ý.
Apple cho biết thêm, lỗ hổng này có thể đã bị khai thác tích cực đối với các phiên bản iOS được phát hành trước iOS 15. Apple khuyến cáo người dùng nên cập nhật các sản phẩm lên các phiên bản mới nhất để tránh những rủi ro đáng tiếc.
M.H