Cập nhật bản vá lỗ hổng bảo mật tháng 7/2023
Microsoft
Trung tuần tháng 7/2023, Microsoft đã phát hành bản vá cho 130 lỗ hổng bảo mật trong các sản phẩm Microsoft Window và Microsoft Component; Office và Office Component; DNS Server; Printer Drivers; .NET and Visual Studio; Azure Active Directory và DevOps; Remote Desktop Client và Microsoft Dynamics. Trong đó, có 9 lỗ hổng xếp hạng nghiêm trọng và 121 lỗ hổng quan trọng.
Đáng chú ý, trong bản vá lần này có một lỗ hổng nghiêm trọng được đánh giá điểm CVSS cao nhất 9.8 định danh CVE-2023-32057. Tuy nhiên, lỗ hổng này gần như giống hệt với lỗ hổng CVE-2023-21554 đã được hãng phát hành bản vá hồi tháng 4. Lỗ hổng này nếu bị khai thác có thể cho phép tin tặc không được xác thực có thể thực thi mã từ xa, với các đặc quyền nâng cao trên hệ thống bị ảnh hưởng khi dịch vụ hàng đợi tin nhắn được bật. Cũng giống như báo cáo về lỗ hổng trước đó chỉ ra, người dùng có thể hạn chế lỗ hổng này bị khai thác bằng cách chặn cổng TCP 1801 nhưng tốt hơn hết là hãy nhanh chóng kiểm tra và cập nhật bản vá nhanh nhất.
Một lỗ hổng bảo mật khác với điểm CVSS 8.8 đang bị tích cực khai thác tại thời điểm phát hành bản vá, lỗ hổng xếp hạng quan trong với mã định danh CVE-2023-35311 cho phép tin tặc có thể bỏ qua hộp thoại nhắc cảnh báo bảo mật của Outlook sau khi người dùng nhấp vào một liên kết. Điều này có thể kết hợp với một số khai thác được thiết kế để thực thi mã độc khi mở một tệp đặc biệt. Thông thường, Outlook sẽ hiển thị một hộp thoại để cảnh báo đến người dùng nhưng lỗ hổng này đã loại bỏ hành vi này của Outlook. Mặc dù hãng Microsoft không cung cấp bất kì thông tin nào về mức độ và độ phủ của việc khai thác lỗ hổng bảo mật này nhưng dựa theo độ phổ biến của việc sử dụng Outlook, người dùng hãy ưu tiên kiểm tra và cài đặt bản cập vá này.
Adobe
Cũng trong tháng 7/2023, Adobe đã phát hành bản vá cho 2 sản phẩm Adobe InDesign và Cold Fusion với 15 lỗ hổng bảo mật. Trong đó, sản phẩm Cold Fusion với 2 lỗ hổng xếp hạng nghiêm trọng và 1 lỗ hổng quan trọng; sản phẩm InDesign với 1 lỗ hổng nghiêm trọng và 11 lỗ hổng quan trọng. Không có lỗ hổng bảo mật nào được báo cáo là được biết đến công khai hay đang bị tích cực khai thác tại thời điểm phát hành bản vá.
Trong bản vá lần này, một lỗ hổng nghiêm trọng định danh CVE-2023-29300 được đánh giá điểm CVSS 9.8. Các phiên bản Adobe Cold Fusion chịu ảnh hưởng của lỗ hổng bảo mật này có thể cho phép tin tặc lợi dụng để thực thi mã tùy ý mà không yêu cầu bất kỳ tương tác nào của người dùng. Do vậy, hãng đã khuyến cáo người dùng nên đọc kĩ hướng dẫn Cold Fusion Lockdown và cập nhật Cold Fusion JDK/JRE lên bản LTS mới nhất để bản vá này được áp dụng.
Apple
Ở một động thái khác, Apple đã bất ngờ phát hành bản vá khẩn cấp cho lỗ hổng bảo mật nghiêm trọng trên các sản phẩm macOS, iOS và iPadOS. Lỗ hổng định danh CVE-2023-34750 được đánh giá điểm CVSS 9.8 xuất phát từ thành phần Webkit và được hãng báo cáo là đang bị tích cực khai thác. Lỗ hổng bảo mật này liên quan đến một cách thức tấn công kinh điển của tin tặc đó là SQL Injection nhằm vào phần mềm bloofox phiên bản v0.5.2.1 của Webkit. Apple cũng lưu ý rằng bản vá này đang gây ra sự cố hiển thị một số trang web. Người dùng vẫn phải chờ đợi một bản vá hoàn thiện hơn trong tương lai gần.
Mai Hương