Microsoft

Trung tuần tháng 2, Microsoft đã phát hành bản cập nhật bảo mật cho 48 lỗ hổng trong các sản phẩm Windows, Office, Teams, Azure Data Explorer, Visual Studio Code và các thành phần khác như Kernel, Win32k. Đáng chú ý, 48 lỗ hổng đều được xếp hạng quan trọng, khiến nó trở thành một trong những bản vá hiếm hoi mà không có lỗ hổng được xếp hạng nghiêm trọng.

Đặc biệt, lỗ hổng zero-day CVE-2022-21989 có điểm CVSS: 7,8 được tiết lộ công khai tại thời điểm phát hành và liên quan đến lỗ hổng leo thang đặc quyền trong Windows Kernel.

May mắn, không có lỗ hổng bảo mật nào đang bị khai thác tích cực tại thời điểm phát hành bản bản vá.

Adobe

Trong tháng 2, Adobe đã phát hành bản vá sửa chữa 17 lỗ hổng trong Adobe Illustrator, Creative Cloud Desktop, After Effects, Photoshop và Premiere Rush. Trong số 17 lỗ hổng này, có 5 lỗ hổng nghiêm trọng, 7 lỗ hổng quan trọng và 5 lỗ hổng xếp hạng trung bình.

Bản vá tháng 2 xử lý một lỗ hổng nghiêm trọng trên After Effects có định danh CVE-2022-2200. Đây là lỗ hổng ghi OOB, tồn tại trong quá trình phân tích cú pháp tệp 3GP. Lỗ hổng tồn tại do thiếu sự xác thực của dữ liệu người dùng cung cấp, điều này có thể dẫn đến việc ghi đè vào cuối cấu trúc được cấp phát.

Mozilla

Trong một động thái khác, Mozilla phát hành bản vá sửa chữa 13 lỗ hổng tồn tại trên FireFox và FireFoxESR. Trong đó có 7 lỗ hổng quan trọng, 5 lỗ hổng trung bình và 1 lỗ hổng được xếp hạng thấp.

Đáng chú ý, lỗ hổng quan trọng có định danh CVE-2022-22753 là lỗ hổng nâng cấp đặc quyền lên hệ thống trên Windows thông qua dịch vụ bảo trì. Lỗi Time-of-Check và Time-of-Use tồn tại trong dịch vụ bảo trì có thể bị lạm dụng để cấp cho người dùng quyền ghi vào một thư mục tùy ý. Điều này có thể dẫn đến việc lạm quyền sang truy cập hệ thống. Tuy nhiên, lỗ hổng này chỉ ảnh hưởng đến phiên bản Firefox trên hệ điều hành Windows, các hệ điều hành khác đều không bị ảnh hưởng.