Cập nhật bản vá lỗ hổng tháng 10/2018
Microsoft
Ngày 09/10, Microsoft đã phát hành bản cập nhật Patch Tuesday với các bản vá cho 49 lỗ hổng bảo mật và 01 Tư vấn bảo mật cho phần mềm Office. Trong các lỗ hổng được vá, có 12 lỗ hổng được đánh giá nghiêm trọng, 34 lỗ hổng quan trọng, 02 lỗ hổng thông thường và 01 lỗ hổng ít nghiêm trọng.
Trong số các lỗ hổng được vá, có 03 lỗ hổng đã bị công khai và 01 lỗ hổng đã bị khai thác trong thực tế. CVE-2018-8453 là lỗ hổng đã bị khai thác, do Kaspersky Labs phát hiện và đã báo cáo các cuộc tấn công. Lỗ hổng leo thang đặc quyền này xảy ra trong quá trình Win32K xử lý các trình điều khiển, cho phép kẻ tấn công thực thi mã với quyền truy cập chế độ nhân, từ đó có thể tạo tài khoản mới và ghi, xóa dữ liệu.
Cũng công khai nhưng chưa bị khai thác là các lỗ hổng: CVE-2018-8423 – lỗ hổng thực thi mã từ xa trong công cụ cơ sở dữ liệu JET cho Windows, CVE-2018-8497 – lỗ hổng leo thang đặc quyền trong nhân Windows và CVE-2018-8531 – lỗ hổng thực thi mã từ xa trong thiết bị IoT Azure khách, có thể bị khai thác thông qua thư điện tử hoặc tệp tin đính kèm độc hại.
Cùng ngày, Adobe phát hành cập nhật bảo mật thứ hai trong tháng cho các phần mềm Acrobat và Reader, ngoài ra cũng phát hành bản vá cho các lỗ hổng trong 05 phần mềm khác là Flash Player, Digital Editions, Experience Manager, Framemaker và Technical Communications Suite.
Trong tháng 10, Google đã phát hành bản vá bảo mật cho 23 lỗ hổng vào ngày 01/10 và 03 lỗ hổng vào ngày 05/10. Các lỗ hổng được vá nằm trong các thành phần khác nhau, bao gồm Nền tảng Android, Nền tảng Đa phương tiện, hệ thống, nhân và bố cục (layout) bên ngoài. Lỗ hổng nghiêm trọng nhất liên quan đến Nền tảng Đa phương tiện, cho phép kẻ tấn công thực thi mã tùy ý từ xa thông qua một tệp tin tự tạo.
Google cũng đã khắc phục các vấn đề về sạc nhanh và cải thiện sự ổn định toàn thể trên các thiết bị Pixel 2 và Pixel 2 XL khi sử dụng Android Auto. Thêm vào đó là một số bản sửa lỗi khác cho các thiết bị Pixel để hoạt động ổn định hơn.
Apple
Ngày 30/10, các bản cập nhật của Apple bao gồm macOS Mojave 10.14.1, iOS 12.1, tvOS 12.1, watchOS 5.1, các phần mềm Safari 12.0.1, iCloud for Windows 7.8 và iTunes 12.9.1 được phát hành. 70 lỗ hổng bảo mật của macOS được vá có thể bị khai thác để thực thi mã tùy ý, leo thang đặc quyền, rò rỉ thông tin và tấn công từ chối dịch vụ (DoS).
Apple cũng đã vá hơn 20 lỗ hổng trong iOS 12, trong đó có các lỗi trong FaceTime. Các nhà nghiên cứu đã tìm thấy 04 lỗi tham nhũng bộ nhớ có thể rò rỉ dữ liệu hoặc thực thi mã tùy ý. Một số lỗi cho phép kẻ tấn công từ xa thực thi mã bằng cách bắt đầu một cuộc gọi FaceTime.
Thảo Uyên
