Buzz
Các ông lớn công nghệ Apple, Microsoft và Google mỗi công ty đều sửa lỗi bảo mật lớn vào tháng 4, nhiều trong số đó đã được sử dụng trong các cuộc tấn công thực tế. Các công ty khác cũng phát hành bản vá bao gồm trình duyệt chú trọng vào quyền riêng tư Firefox và các nhà cung cấp phần mềm doanh nghiệp SolarWinds và Oracle.
Dưới đây là mọi thứ bạn cần biết về các bản vá phát hành trong tháng 4.
Apple
Ngay sau iOS 16.4, Apple đã phát hành bản cập nhật iOS 16.4.1 để sửa hai lỗ hổng đã được sử dụng trong các cuộc tấn công. CVE-2023-28206 là một vấn đề trong IOSurfaceAccelerator có thể khiến ứng dụng thực thi mã với đặc quyền hạt nhân, Apple thông báo trên trang hỗ trợ của mình.
CVE-2023-28205 là một vấn đề trong WebKit, công cụ động cơ của trình duyệt Safari, có thể dẫn đến thực thi mã tùy ý. Trong cả hai trường hợp, nhà sản xuất iPhone cho biết, “Apple nhận thức về một báo cáo cho rằng vấn đề này có thể đã được khai thác một cách tích cực.”
Lỗ hổng có nghĩa là việc truy cập một trang web đã được gắn mắt có thể đưa ra sự kiểm soát của tin tặc đối với trình duyệt của bạn—hoặc bất kỳ ứng dụng nào sử dụng WebKit để hiển thị và hiển thị nội dung HTML, theo Paul Ducklin, một nhà nghiên cứu an ninh tại công ty an ninh mạng Sophos.
Hai lỗ hổng đã được sửa trong iOS 16.4.1 được báo cáo bởi Nhóm Phân tích Rủi ro của Google và Phòng thí nghiệm An ninh của Tổ chức Quốc tế Amnesty. Dựa trên điều này, Ducklin nghĩ rằng lỗ hổng bảo mật có thể đã được sử dụng để cài đặt phần mềm gián điệp.
Apple cũng phát hành iOS 15.7.5 cho người dùng của các mẫu iPhone cũ để sửa các lỗ hổng đã được khai thác. Trong khi đó, nhà sản xuất iPhone cũng phát hành macOS Ventura 13.3.1, Safari 16.4.1, macOS Monterey 12.6.5 và macOS Big Sur 11.7.6.
Microsoft
Không chỉ có Apple mới phát hành các bản vá khẩn cấp trong tháng 4. Microsoft cũng phát hành một bản vá khẩn cấp như một phần của bản cập nhật Patch Tuesday của tháng này. CVE-2023-28252 là một lỗi nâng cao quyền ưu tiên trong Windows Common Log File System Driver. Một kẻ tấn công thành công có thể đạt được đặc quyền hệ thống, Microsoft nói trong một thông báo.
Một lỗ hổng đáng chú ý khác, CVE-2023-21554, là một lỗ hổng tự do mã từ xa trong Microsoft Message Queuing được gắn nhãn có tác động nghiêm trọng. Để khai thác lỗ hổng, kẻ tấn công cần gửi một gói MSMQ độc hại đến một máy chủ MSMQ, Microsoft nói, có thể dẫn đến việc thực thi mã từ xa ở phía máy chủ.
Bản vá là một phần của loạt bản vá cho 98 lỗ hổng, vì vậy đáng xem xét thông báo và cập nhật ngay khi có thể.
Google Android
Google đã phát hành nhiều bản vá cho hệ điều hành Android của mình, sửa nhiều lỗ hổng nghiêm trọng. Lỗi nghiêm trọng nhất là một lỗ hổng bảo mật quan trọng trong thành phần hệ thống có thể dẫn đến thực thi mã từ xa mà không cần thêm quyền thực thi, Google nói trong Bản tin An ninh Android của mình. Không cần tương tác người dùng để khai thác.
Những vấn đề đã được vá bao gồm 10 trong khung, bao gồm tám lỗ hổng nâng cao quyền ưu tiên và chín vấn đề khác được đánh giá là có độ nghiêm trọng cao. Google đã sửa 16 lỗi trong hệ thống bao gồm hai lỗ hổng RCE quan trọng và một số vấn đề trong các thành phần kernel và SoC.
Cập nhật cũng bao gồm nhiều bản vá cụ thể cho Pixel, bao gồm một lỗ hổng nâng cao quyền ưu tiên trong kernel được theo dõi với mã CVE-2023-0266. Bản vá tháng 4 cho Android có sẵn cho các thiết bị của Google cũng như các mẫu bao gồm dòng Galaxy S-series của Samsung cùng với dòng Fold và Flip-series.
Google Chrome
Đầu tháng 4, Google phát hành một bản vá để sửa 16 vấn đề trong trình duyệt Chrome phổ biến của mình, một số trong số đó là nghiêm trọng. Các lỗ hổng đã được vá bao gồm CVE-2023-1810, một vấn đề tràn bộ đệm heap trong Visuals được đánh giá có tác động lớn và CVE-2023-1811, một lỗ hổng use-after-free trong Frames. 14 lỗ hổng bảo mật còn lại được đánh giá có tác động trung bình hoặc thấp.
Giữa tháng, Google buộc phải phát hành một bản cập nhật khẩn cấp, lần này để sửa hai lỗ hổng, trong đó một đã được sử dụng trong các cuộc tấn công thực tế. CVE-2023-2033 là một loại lỗ hổng nhầm lẫn trong trình điều khiển JavaScript V8. “Google nhận thức về việc một kỹ thuật tận dụng cho CVE-2023-2033 tồn tại trong thực tế,” tập đoàn phần mềm nói trên blog của mình.
Chỉ vài ngày sau đó, Google phát hành một bản vá khác, sửa các vấn đề bao gồm một lỗ hổng zero-day khác được theo dõi với mã CVE-2023-2136, một lỗi tràn số nguyên trong trình điều khiển đồ họa Skia.
Với số lượng và nghiêm trọng của các vấn đề, người dùng Chrome nên ưu tiên kiểm tra xem phiên bản hiện tại của họ đã được cập nhật.
Mozilla Firefox
Đối thủ của Chrome, Firefox, đã sửa các vấn đề trong Firefox 112, Firefox cho Android 112 và Focus cho Android 112. Trong số những lỗ hổng là CVE-2023-29531, một vấn đề truy cập bộ nhớ ngoài giới hạn trong WebGL trên macOS được đánh giá có tác động lớn. Trong khi đó, CVE-2023-29532 là một lỗ hổng bypass ảnh hưởng đến Windows, yêu cầu quyền truy cập hệ thống cục bộ.
CVE-2023-1999 là một lỗi double-free trong libwebp có thể dẫn đến sự hỏng về bộ nhớ và một sự cố có thể bị khai thác, Mozilla, chủ sở hữu của Firefox, viết trong một thông báo.
Mozilla cũng sửa hai lỗi an toàn bộ nhớ, CVE-2023-29550 và CVE-2023-29551. “Một số lỗi này đã cho thấy dấu hiệu của sự hỏng về bộ nhớ, và chúng tôi giả định rằng với đủ nỗ lực, một số trong số này có thể đã bị khai thác để chạy mã tùy ý,” nhà sản xuất trình duyệt nói.
SolarWinds
Ông lớn công nghệ SolarWinds đã vá hai vấn đề có độ nghiêm trọng cao trong nền tảng của mình có thể dẫn đến thực thi lệnh và leo thang đặc quyền. Được theo dõi với mã CVE-2022-36963, vấn đề đầu tiên là một lỗ hổng inject lệnh trong sản phẩm giám sát và quản lý cơ sở hạ tầng của SolarWinds, công ty viết trong một hướng dẫn an ninh. Nếu khai thác, lỗi có thể cho phép một kẻ tấn công từ xa có một tài khoản quản trị viên SolarWinds Platform hợp lệ thực thi các lệnh tùy ý.
Một vấn đề có độ nghiêm trọng cao khác là CVE-2022-47505, một lỗ hổng nâng cao đặc quyền địa phương mà một đối thủ địa phương có một tài khoản người dùng hệ thống hợp lệ có thể sử dụng để leo thang đặc quyền.
Bản vá mới nhất của SolarWinds sửa nhiều vấn đề khác được đánh giá có tác động trung bình. Chưa có vấn đề nào được sử dụng trong các cuộc tấn công, nhưng nếu bạn bị ảnh hưởng bởi các lỗ hổng, hãy cập nhật ngay lập tức.
Oracle
Tháng 4 đã là một tháng lớn đối với nhà sản xuất phần mềm doanh nghiệp Oracle, đã phát hành bản vá cho 433 lỗ hổng, trong đó có 70 lỗ hổng được đánh giá có độ nghiêm trọng cao. Điều này bao gồm các vấn đề trong Oracle GoldenGate Risk Matrix, bao gồm CVE-2022-23457, có điểm cơ bản CVSS là 9.8. Vấn đề có thể được khai thác từ xa mà không cần xác thực, Oracle cảnh báo trong thông báo của mình.
Các bản vá tháng 4 cũng chứa đựng sáu bản vá mới cho Oracle Commerce. “Tất cả các lỗ hổng này có thể được khai thác từ xa mà không cần xác thực,” Oracle cảnh báo.
Do mối đe dọa từ một cuộc tấn công thành công, Oracle 'mạnh mẽ khuyến nghị' khách hàng áp dụng bản vá bảo mật Critical Patch Update càng sớm càng tốt.
Cisco
Công ty phần mềm Cisco đã phát hành bản vá cho các lỗ hổng có thể cho phép một kẻ tấn công được xác minh, địa phương thoát khỏi shell hạn chế và đạt được đặc quyền root trên hệ điều hành cơ bản.
CVE-2023-20121, ảnh hưởng đến Cisco EPNM, Cisco ISE và Cisco Prime Infrastructure, là một lỗ hổng inject lệnh. Một kẻ tấn công có thể khai thác lỗ hổng bằng cách đăng nhập vào thiết bị và thực hiện một lệnh CLI được chế tạo. 'Một cuộc tấn công thành công có thể cho phép kẻ tấn công thoát khỏi shell hạn chế và đạt được đặc quyền root trên hệ điều hành cơ bản của thiết bị bị ảnh hưởng,' Cisco nói, thêm rằng kẻ tấn công phải là một người dùng shell được xác minh để khai thác lỗ hổng.
Trong khi đó, CVE-2023-20122 là một lỗ hổng inject lệnh trong shell hạn chế của Cisco ISE có thể cho phép một kẻ tấn công được xác minh, địa phương thoát khỏi shell hạn chế và đạt được đặc quyền root trên hệ điều hành cơ bản.
SAP
Đó đã là một Ngày Bản vá nữa bận rộn cho SAP, với việc phát hành 19 Security Notes mới. Trong số các bản vá là CVE-2023-27497, bao gồm nhiều lỗ hổng trong SAP Diagnostics Agent. Một bản vá đáng chú ý khác là CVE-2023-28765, một lỗ hổng tiết lộ thông tin trong SAP BusinessObjects Business Intelligence Platform. Thiếu thiết lập bảo vệ mật khẩu cho phép kẻ tấn công truy cập vào tệp lcmbiar, theo thông báo của công ty bảo mật Onapsis. 'Sau khi giải mã thành công nội dung của nó, kẻ tấn công có thể truy cập vào mật khẩu người dùng,' công ty giải thích. 'Tùy thuộc vào quyền hạn của người dùng giả mạo, kẻ tấn công có thể hoàn toàn đe dọa tính bí mật, tính toàn vẹn và tính khả dụng của hệ thống.'
