Cập nhật bản vá lỗ hổng bảo mật tháng 7/2021
Microsoft
Trong tháng 7, Microsoft đã phát hành bản vá cho 117 lỗ hổng bảo mật, tồn tại trong hệ điều hành Windows, Dynamics, Exchange Server, Microsoft Office, Windows Storage Spaces Controller, Bing, SharePoint Server, Internet Explorer, Visual Studio và OpenEnclave. Trong số 117 lỗ hổng, có 13 lỗ hổng được đánh giá nghiêm trọng, 103 lỗ hổng quan trọng và 1 lỗ hổng trung bình.
Theo Microsoft, có 6 lỗ hổng (CVE-2021-34527, CVE-2021-34473, CVE-2021-33781, CVE-2021-34523, CVE-2021-33779, CVE-2021-34492) được biết đến công khai và 4 lỗ hổng (CVE-2021-34527, CVE-2021-34448, CVE-2021-31979, CVE-2021-33771) đang bị khai thác tích cực tại thời điểm phát hành bản vá.
Đáng lưu ý, CVE-2021-34527 là lỗ hổng nghiêm trọng được biết đến công khai và sử dụng tích cực trong các cuộc tấn công. Đây là lỗ hổng thực thi mã từ xa của Windows Print Spooler. Nếu khai thác thành công lỗ hổng, tin tặc có thể thực thi mã tùy ý với các đặc quyền của hệ thống. Sau đó có thể cài đặt các chương trình, xem, thay đổi, xóa dữ liệu hay tạo tài khoản mới với đầy đủ quyền của người dùng.
Adobe
Trong một động thái khác, Adobe đã phát hành bản vá cho 33 lỗ hổng bảo mật trong Adobe Dimension, Illustrator, Framemaker, Acrobat Reader và Adobe Bridge. Trong đó, có 24 lỗ hổng nghiêm trọng, 8 lỗ hổng quan trọng và 1 lỗ hổng trung bình.
Hai trong số các lỗ hổng Acrobat Reader nghiêm trọng nhất là lỗ hổng use-after-free với định danh CVE-2021-28641 và CVE-2021-28639, cho phép tin tặc có thế thực thi mã tùy ý trên các hệ thống được nhắm mục tiêu hoặc tạo ra các sự cố cho ứng dụng.
May mắn, không có lỗ hổng nào được biết đến công khai hoặc đang bị tấn công trước khi phát hành bản vá.
Mozilla
Cũng trong tháng 7, Mozilla đã phát hành bản vá bảo mật cho 15 lỗ hổng bảo mật trong Firefox, Firefox ESR, Thunderbird, Mozilla VPN và Hubs Cloud Reticulum. Trong đó, có 10 lỗ hổng quan trọng và 5 lỗ hổng trung bình, may mắn không có lỗ hổng nghiêm trọng nào trong bản vá lần này.
Lỗ hổng quan trọng có định danh CVE-2021-29976 liên quan tới bộ nhớ trên Firefox 90 và Firefox ESR 78.12. Lỗ hổng này có thể cho phép tin tặc khai thác và thực thi mã tuỳ ý. Được biết, không có lỗ hổng nào được biết đến và khai thác tại thời điểm phát hành bản vá.
Mai Hương
