Microsoft

Trong tháng 1, Microsoft đã phát hành bản vá cho 97 lỗ hổng trong Microsoft Windows, Windows Components, Microsoft Edge (dựa trên Chromium), Exchange Server, Microsoft Office và Office Components, SharePoint Server, .NET Framework, Microsoft Dynamics, Open-Source Software, Windows Hyper-V, Windows Defender và Windows Remote Desktop Protocol (RDP).

Trong đó, 9 lỗ hổng được đánh giá là nghiêm trọng và 88 lỗ hồng được đánh giá quan trọng. Bản vá lần này đã sửa chữa 6 lỗ hổng zero-day bị công khai nhưng không bị tấn công trước khi phát hành bản vá.

Đáng lưu ý lỗ hổng zero-day định danh CVE-2022-21907 cho phép thực thi mã từ xa của ngăn xếp giao thức HTTP. Lỗ hổng này có thể cho phép kẻ tấn công thực hiện mã trên hệ thống bị ảnh hưởng bằng cách gửi các gói tin độc hại tới hệ thống sử dụng ngăn xếp giao thức HTTP.

Adobe

Cũng trong tháng 1, Adobe đã phát hành bản vá cho 41 lỗ hổng trong Acrobat Reader, Illustrator, Adobe Bridge, InCopy và InDesign. Trong đó, có 22 lỗ hổng nghiêm trọng, 6 lỗ hổng quan trọng và 13 lỗ hổng trung bình.

Lỗ hổng nghiêm trọng có định danh CVE-2021-44704 bị công khai trong cuộc thi hack Tian Cup tại Trung Quốc. Đây là lỗ hổng use-after-free, kẻ tấn công sẽ lừa người dùng mở một tệp PDF độc hại, từ đó thực thi mã từ xa trên hệ thống của nạn nhân.

Mozilla

Trong một động thái khác Mozilla đã phát hành bản vá sửa chữa 18 lỗ hổng trên Firefox, Firefox ESR và Thunderbird. Trong đó có 9 lỗ hổng quan trọng, 6 lỗ hổng trung bình và 3 lỗ hổng yếu.

Đáng chú ý, lỗ hổng CVE-2022-22746 có thể dẫn đến việc giả mạo cửa sổ toàn màn hình trên Windows. Một lỗ hổng giả mạo toàn màn hình khác định danh CVE-2022-22743 có thể dẫn đến việc giả mạo cửa sổ toàn màn hình trên Windows. Lỗ hổng này có thể cho phép kẻ tấn công kiểm soát ngăn trình duyệt thoát khỏi chế độ toàn màn hình khi người dùng điều hướng từ bên trong iframe.