Microsoft

Trong tháng 3, Microsoft đã phát hành bản vá cho 71 lỗ hổng bảo mật trong Microsoft Windows, Windows Components, Azure Site Recovery, Microsoft Defender cho Endpoint và IoT, Intune, Edge (dựa trên Chromium), Windows HTML Platforms, Office, Office Components, Skype for Chrome, .NET, Visual Studio, Windows RDP, SMB Server và Xbox. 

Trong số 71 lỗ hổng có 3 lỗ hổng được xếp hạng nghiêm trọng và 68 lỗ hổng được xếp hạng quan trọng.

Đáng lưu ý là lỗ hổng quan trọng có định danh CVE-2022-21990, cho phép tin tặc thực thi mã từ xa trên Remote Desktop Client đã bị công khai trước khi phát hành bản vá. Qua đó, tin tặc có thể tấn công máy khách Remote Desktop Protocol kết nối với máy chủ truy cập từ xa của tin tặc để kích hoạt mã từ xa.

Adobe

Cũng trong tháng 3, Adobe đã phát hành bản vá giải quyết 6 lỗ hổng trong Adobe Photoshop, Illustrator và After Effects. Trong đó có 5 lỗ hổng nghiêm trọng, 1 lỗ hổng được xếp hạng quan trọng. Lỗ hổng nghiêm trọng trên Adobe Illustrator có định danh CVE-2022-23187 là lỗ hổng bảo mật tràn bộ đệm do xử lý tệp được tạo không an toàn. Qua đó, tin tặc có thể tạo một tệp thủ công trên Illustrator, lừa người dùng mở và thực thi mã tuỳ ý trên thiết bị của nạn nhân.

Mozilla

Trong một động thái khác, Mozilla phát hành bản vá để sửa chữa 2 lỗ hổng zero-day trên Firefox 97.0.2, Firefox ESR 91.6.1, Firefox cho Android 97.3.0 và Focus 97.3.0. Cả 2 lỗ hổng này đểu được xếp hạng nghiêm trọng và đã bị khai thác trong thực tế.

Lỗ hổng đầu tiên có định danh CVE-2022-26485, đây là lỗ hổng use-after-free trong xử lý thông số XSLT; xảy ra khi xóa thông số XSLT.

Lỗ hổng còn lại có định danh CVE-2022-26486 tồn tại trong WebGPU IPC Framework; xảy ra khi có một thông báo không mong muốn trong khung WebGPU IPC có thể dẫn đến lỗi use-after-free và thoát khỏi sandbox.