Cập nhật bản vá lỗ hổng bảo mật tháng 9/2020
Microsoft
Trung tuần tháng 9, Microsoft đã phát hành bản vá cho 66 lỗ hổng trong các sản phẩm Windows, Microsoft Edge (Chromium, iOS và Android), Azure, Office và các thành phần Office, SharePoint Server, Microsoft Windows DNS và Windows Subsystem dành cho Linux. Trong số 66 lỗ hổng, có 3 lỗ hổng xếp hạng nghiêm trọng, 62 lỗ hổng được xếp hạng quan trọng và 1 lỗ hổng xếp hạng trung bình.
Microsoft đã dành nguồn lực đáng kể để ứng phó với các lỗ hổng đang bị khai thác tích cực trong thực tế. Trong đó, đáng chú ý nhất là lỗ hổng định danh CVE-2021-40444. Đây là một lỗ hổng thực thi mã từ xa Microsoft MSHTML, bị khai thác bằng cách sử dụng các tài liệu Microsoft Office được thiết kế có chủ đích.
Adobe
Trong tháng 9, Adobe cũng đã phát hành bản vá cho 53 lỗ hổng trong Adobe Acrobat Reader, XMP Toolkit SDK, Photoshop, Experience Manager, Genuine Service, Digital Editions, Premiere Elements, Photoshop Elements, Creative Cloud Desktop, ColdFusion, Framemaker, InDesign, SVG-Native-Viewer, InCopy và Premiere Pro. Hầu hết các lỗ hổng này có thể dẫn đến việc thực thi mã tùy ý khi khai thác thành công và ảnh hưởng đến cả hai hệ điều hành là Windows và MacOS.
Trong số 53 lỗ hổng, có 37 lỗ hổng nghiêm trọng, 11 lỗ hổng quan trọng và 5 lỗ hổng trung bình. Lỗ hổng nghiêm trọng có định danh CVE-2021-39863 là lỗ hổng tràn bộ đệm trên heap có thể cho phép kẻ tấn công thực thi mã tuỳ ý. May mắn, không có lỗ hổng nào bị công khai hoặc khai thác trước khi phát hành bản vá.
Apple
Trong một động thái khác, Apple đã phát hành bản vá cho 2 lỗ hổng nghiêm trọng. Lỗ hổng thứ nhất định danh CVE-2021-30860 trong CoreGraphics có thể cho phép thực thi mã từ xa.
Apple cho biết: Citizen Lab đã báo cáo lỗ hổng này, đáng buồn là lỗ hổng đang bị khai thác tích cực. CVE-2021-30860 được sử dụng để nhắm mục tiêu vào iPhone của một nhà hoạt động xã hội Ả Rập Xê Út.
Lỗ hổng nghiêm trọng thứ 2 định danh CVE-2021-30858, đây là lỗ hổng user-after-free trong Webkit cho phép tin tặc tạo các trang web độc hại và thực thi mã tùy ý khi người dùng truy cập chúng.
Mai Hương