Microsoft

Ngày 12/6, Microsoft đã phát hành bản vá tháng 6 giải quyết 50 lỗ hổng, trong đó có 11 lỗ hổng được đánh giá nghiêm trọng và 39 lỗ hổng quan trọng. Các lỗ hổng này ảnh hưởng tới hệ điều hành Windows, các trình duyệt web (Internet Explorer, Edge), các phần mềm Office, Exchange, ChakraCore và chương trình Adobe Flash Player.

Đáng lưu ý là lỗ hổng thực thi mã từ xa trong DNSAPI.dll của dịch vụ phân giải tên miền (Domain Name System - DNS) được định danh CVE-2018-8225, gây ảnh hưởng đến các phiên bản từ Windows 7 trở lên và các phiên bản dành cho máy chủ. Lỗ hổng này tồn tại trong việc hệ điều hành Windows xử lý các phản hồi DNS. Từ đó, tin tặc có thể khai thác bằng cách gửi các phản hồi DNS lỗi từ một máy chủ DNS độc hại tới mục tiêu. Nếu khai thác thành công, kẻ tấn công có thể thực thi mã tùy ý với quyền tài khoản trên hệ thống cục bộ.

Trong số các lỗ hổng được vá, một số lỗ hổng đã bị công khai rộng rãi. Thứ nhất, lỗ hổng thực thi mã từ xa trong trình thông dịch của các ngôn ngữ scripting (Scripting Engine) có định danh CVE-2018-8267. Thứ hai, lỗ hổng remote memory-corruption trong công cụ rending của Internet Explorer, bị kích hoạt khi chương trình không xử lý đúng các đối tượng lỗi, cho phép kẻ tấn công thực thi mã tùy ý trong phạm vi người dùng hiện hành đang đăng nhập.

Ngoài ra, có một lỗ hổng bảo mật quan trọng trong Flash Player đã được xử lý định danh CVE-2018-5002. Đây là lỗi tràn bộ đệm dựa trên stack, có thể dẫn đến thực thi mã từ xa. Đáng chú ý, lỗ hổng này được báo cáo đang bị khai thác trong thực tế.

Google

Google đã phát hành bản vá cho Android vào ngày 01/6 với 38 lỗ hổng và ngày 05/6 với 20 lỗ hổng. Trong đó, các lỗ hổng quan trọng nhất liên quan đến nền tảng đa phương tiện, cho phép kẻ tấn công thực thi mã tùy ý bằng một tệp tin thủ công từ quá trình leo thang đặc quyền. Các lỗ hổng tương tự trong nền tảng và hệ thống của Android cũng được vá.

LG, Qualcomm, MediaTek và NVIDIA cũng cung cấp các bản vá quan trọng cho các hệ nhị phân đã phân loại (Assorted Binaries) trên tất cả các thiết bị Android. Đồng thời, Qualcomm và LG cũng vá lỗi trong bộ nạp khởi động (bootloader). Google cũng vá một số lỗi trên các thiết bị Pixel và Nexus.

Apple

Đầu tháng 6, Apple đã phát hành bản cập nhật cho các sản phẩm: hệ điều hành macOS High Sierra, Sierra, El Capitan, trình duyệt Safari, phần mềm iCloud, Safari trên... Trong đó, một số lỗ hổng có thể cho phép kẻ tấn công kiểm soát hệ thống bị ảnh hưởng.

Các lỗ hổng trong nhân của hệ điều hành macOS có thể cho phép kẻ tấn công có thể thực hiện tấn công từ chối dịch vụ từ một tài khoản đặc quyền. Ngoài ra, các lỗ hổng trong Messages và UIKiet có thể dẫn đến từ chối dịch vụ qua cách xử lý một thông báo độc hại được tạo thủ công.

Apple cũng phát hành bản cập nhật cho iOS, watchOS, iTunes và tvOS. Đồng thời, vá một lỗ hổng trong nhân iOS có thể cho phép kẻ tấn công thực thi mã tùy ý với các đặc quyền của nhân.