Microsoft
Microsoft đã phát hành bản vá Patch Tuesday tháng 12 để giải quyết 71 lỗ hổng bảo mật. Đáng lưu ý, bản vá lần này khắc phục 01 lỗ hổng zero-day đang bị khai thác tích cực trong thực tế.
Theo đó, bản vá Patch Tuesday tháng 12 đã khắc phục 27 lỗ hổng leo thang đặc quyền; 30 lỗ hổng thực thi mã từ xa (RCE); 7 lỗ hổng tiết lộ thông tin; 4 lỗ hổng từ chối dịch vụ và 02 lỗ hổng giả mạo (spoofing). Bên cạnh đó, Microsoft cũng phát hành bản cập nhật Microsoft Office Defense in Depth Update, cung cấp khả năng bảo mật nâng cao đối với dịch vụ Office.
Đáng chú ý, một lỗ hổng đang bị khai thác trong thực tế có định danh CVE-2024-49138 có điểm CVSS 7,8. Đây là lỗ hổng leo thang đặc quyền của Windows Common Log File System Driver. Lỗ hổng CVE-2024-49138 có thể cho phép kẻ tấn công chiếm được quyền SYSTEM trên các thiết bị Windows. Hiện tại, chưa có thông tin nào được công bố về cách lỗ hổng này bị khai thác trong các cuộc tấn công.
Adobe
Cũng trong tháng 12, Adobe đã phát hành 16 bản vá để giải quyết 167 lỗ hổng bảo mật trong các sản phẩm Adobe Experience Manager, Acrobat and Reader, Media Encoder, Illustrator, After Effects, Animate, InDesign, Adobe PDFL Software Development Kit (SDK), Connect, Substance 3D Sampler, Photoshop, Substance 3D Modeler, Bridge, Premiere Pro, Substance 3D Painter và FrameMaker. Trong 167 lỗ hổng có 39 lỗ hổng xếp hạng mức độ nghiêm trọng, 121 lỗ hổng xếp hạng quan trọng và 7 lỗ hổng xếp hạng trung bình.
Đáng chú ý, các sản phẩm Experience Manager tồn tại 91 lỗ hổng. Tuy nhiên, hầu hết trong số này là lỗ hổng Cross-site scripting (XSS) có mức độ tác động được đánh giá đơn giản.
May mắn, không có lỗ hổng nào được Adobe cập nhật trong tháng này bị công khai hoặc khai thác trong thực tế trước thời điểm phát hành bản vá. Hãng Adobe khuyến cáo người dùng nhanh chóng cập nhật các bản vá để tránh những nguy cơ đáng tiếc.
SAP
Ở một động thái khác, SAP đã phát hành bản cập nhật để giải quyết 13 lỗ hổng bảo mật. Trong đó, có 5 lỗ hổng xếp hạng mức độ nghiêm trọng, 6 lỗ hổng xếp hạng quan trọng và 2 lỗ hổng xếp hạng trung bình.
Lỗ hổng bảo mật nghiêm trọng với điểm CVSS cao nhất mà hãng SAP giải quyết trong bản cập nhật lần này có định danh CVE-2024-47578 là 9,1 điểm. Đây là lỗ hổng XSS xảy ra trên sản phẩm SAP NetWeaver AS for JAVA (Adobe Document Services). Adobe Document Service cho phép kẻ tấn công có quyền quản trị viên gửi yêu cầu được tạo thủ công từ một ứng dụng web dễ bị tấn công. Nó thường được sử dụng để nhắm mục tiêu vào các hệ thống nội bộ đằng sau tường lửa mà kẻ tấn công thường không thể truy cập được từ mạng bên ngoài, dẫn đến lỗ hổng Server-Side Request Forgery. Khai thác thành công, kẻ tấn công có thể đọc hoặc sửa đổi bất kỳ tệp nào và/hoặc khiến toàn bộ hệ thống không khả dụng.
SAP khuyến cáo người dùng cần nhanh chóng cập nhật bản vá để tránh những nguy cơ đáng tiếc.
Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống
Nguồn tin: antoanthongtin.vn
Tham gia bình luận