Cập nhật bản vá lỗ hổng tháng 9/2022
Microsoft
Trong tháng 9, Microsoft đã phát hành bản vá cho 63 lỗ hổng bảo mật trong Microsoft Windows & Windows Components, Azure & Azure Arc, .NET & Visual Studio & .NET Framework, Microsoft Edge (dựa trên Chromium), Office, Windows Defender và Linux Kernel.
Trong số 63 lỗ hổng có, 5 lỗ hổng được đánh giá là nghiêm trọng, 57 lỗ hổng được đánh giá là quan trọng và 1 lỗ hổng được xếp hạng trung bình.
Một lỗ hổng quan trọng trong bản vá lần này đã bị công khai và tấn công trước thời điểm phát hành bản vá, có định danh CVE-2022-37969. Đây là lỗ hổng nâng cao đặc quyền trên trình điều khiển hệ thống tệp nhật ký chung của Windows. Kẻ tấn công có thể thuyết phục người dùng mở tệp hoặc nhấp vào liên kết, sau đó các tệp độc hại này sẽ chạy các đoạn mã bổ sung với các đặc quyền nâng cao để tiếp quản hệ thống.
Adobe
Hãng Adobe đã phát hành bản vá giải quyết 65 lỗ hổng trong Adobe Experience Manager, Bridge, InDesign, Photoshop, InCopy, Animate và Illustrator. Trong đó, có 35 lỗ hổng nghiêm trọng và 30 lỗ hổng quan trọng.
Một lỗ hổng nghiêm trọng có định danh CVE-2022-28852 có điểm CVSS 7,8. Đây là lỗ hổng ghi ngoài giới hạn trên Adobe Indesign phiên bản 16.4.2 và 17.3. Kẻ tấn công sẽ lừa người dùng mở một tệp đặc biệt do chúng tạo ra, qua đó chúng có thể thực thi mã tùy ý trên thiết bị của nạn nhân.
Không có lỗ hổng nào được Adobe khắc phục trong tháng này được liệt kê là đã biết công khai hoặc đang bị tấn công tích cực tại thời điểm phát hành bản vá.
Apple
Gần đây nhất, Apple đã phát hành bản vá cho 16 lỗ hổng bảo mật trên iOS, iPadOS, macOS, Safari. Hai trong số các lỗ hổng được Apple vá được xác định là đang bị khai thác trong thực tế.
Lỗ hổng đầu tiên định danh CVE-2022-32917, tồn tại trong nhân do kiểm tra giới hạn không đúng cách đã tạo điều kiện cho một ứng dụng khác có thể thực thi mã tùy ý với đặc quyền. Lỗ hổng này ảnh hưởng đến iOS 15, iPadOS 15, macOS Big Sur và macOS Monterey.
Phiên bản Big Sur của macOS cũng đã ghi nhận một lỗ hổng Out-of-Bounds (OOB) trong nhân có định danh CVE-2022-32894, có tác động tương tự như lỗ hổng CVE-2022-32917.
Hương Mai