Apple, Microsoft, và Google Vừa Sửa Nhiều Lỗ Hổng Zero-Day

Mùa thu đã đến, nhưng mùa hè nóng bỏng với các lỗ hổng zero-day không có dấu hiệu giảm nhiệt, với Apple, Microsoft, và Google sửa các lỗ hổng đang được sử dụng trong các cuộc tấn công thực tế.

Một số bản vá quan trọng cho doanh nghiệp đã được phát hành trong tháng, bao gồm một bản vá của Cisco cho một lỗ hổng với điểm CVSS tối đa là 10.

Phần mềm gián điệp đã là một xu hướng nổi bật trong vài tháng qua, và đó là mối đe dọa mà mọi người nên đối mặt một cách nghiêm túc. Các cuộc tấn công có thể tiếp cận các thiết bị mà không cần sự tương tác từ người dùng, vì vậy việc duy trì hệ điều hành của bạn cập nhật là quan trọng.

Dưới đây là mọi thứ bạn cần biết về các bản vá được phát hành trong tháng 9.

Apple iOS và iPad OS

Trong tháng 8, Apple không phát hành bất kỳ bản cập nhật bảo mật nào, nhưng nhà sản xuất iPhone chắc chắn đã bù đắp điều đó vào tháng 9. Trước hết là iOS 16.6.1, một bản cập nhật bảo mật khẩn cấp được phát hành vào ngày 9 tháng 9 để khắc phục hai lỗ hổng đã được sử dụng trong các cuộc tấn công có tên gọi là “zero-click”.

Được báo cáo bởi các nghiên cứu viên tại Citizen Lab của Đại học Toronto, các lỗ hổng đã được sử dụng để cài đặt phần mềm gián điệp thông qua các tệp đính kèm chứa hình ảnh độc hại trong một iMessage, trong một cuộc tấn công mà các nhà nghiên cứu gọi là BLASTPASS.

Giữa tháng 9, Apple phát hành bản nâng cấp phần mềm chính của mình, iOS 17, sau đó là iOS 17.0.1 vài ngày sau. Bản nâng cấp bất ngờ iOS 17.0.1 quan trọng vì nó sửa ba lỗ hổng khác trên iPhone đang được sử dụng trong các cuộc tấn công phần mềm gián điệp.

Được theo dõi với mã CVE-2023-41992 và được báo cáo bởi các nhà nghiên cứu an ninh tại Citizen Lab và Google, vấn đề đầu tiên là một lỗ hổng trong kernel có thể cho phép một kẻ tấn công tăng quyền hạn. Hai lỗ hổng khác trong WebKit và Security có thể được kết hợp để kiểm soát thiết bị của người dùng.

Những lỗ hổng được vá trong iOS 17.0.1 cũng đã được sửa trong bản phát hành iOS 16.7 dành cho người dùng iPhone cũ hoặc những người không muốn nâng cấp lên phần mềm mới nhất.

Cuối tháng 9, Apple phát hành iOS 17.0.2 để sửa một số lỗi sớm trên iOS 17, và đây là phiên bản mới nhất của phần mềm tính đến thời điểm xuất bản.

Apple cũng đã phát hành macOS Sonoma 14 để sửa hơn 60 lỗ hổng an ninh.

Google Android

Tháng 9 là một tháng lớn về an ninh cho người dùng Android của Google, với bản vá hàng tháng sửa 33 lỗ hổng, trong đó có một lỗ hổng đã được sử dụng trong các cuộc tấn công. Được theo dõi với mã CVE-2023-35674, lỗ hổng trong framework có thể cho phép một kẻ tấn công nâng quyền mà không cần bất kỳ tương tác nào từ người dùng. “Có dấu hiệu cho thấy CVE-2023-35674 có thể đang bị tấn công hạn chế, có mục tiêu,” Google nói trong Android Security Bulletin của mình.

Vấn đề nghiêm trọng khác là một lỗ hổng an ninh nguy hiểm trong thành phần hệ thống có thể dẫn đến thực thi mã từ xa mà không cần thêm quyền thi hành nào khác.

Bản cập nhật bảo mật Android đã đến với các thiết bị Pixel của Google cũng như các thiết bị Samsung, bao gồm dòng Galaxy S23 và S22.

Google Chrome

Cuối tháng 9, Google đã cập nhật trình duyệt Chrome của mình sau khi sửa 10 lỗ hổng, trong đó có một lỗ hổng đã bị kẻ tấn công khai thác. Được theo dõi với mã CVE-2023-5217 và được đánh giá có tác động lớn, lỗ hổng đã bị khai thác trước đó là một lỗ hổng tràn bộ đệm heap trong mã hóa vp8 trong libvpx. “Google nhận thức rằng có một kỹ thuật khai thác cho CVE-2023-5217 tồn tại ngoài thiên hạ,” công ty phần mềm này nói trong một hướng dẫn.

Lỗ hổng đã được sử dụng trong các cuộc tấn công gián điệp có mục tiêu, như Maddie Stone, nhà nghiên cứu an ninh của Google, sau đó xác nhận trên Twitter.

Trong tháng này, Google đã sửa một lỗ hổng zero-day khác, một vấn đề tràn bộ đệm heap được theo dõi ban đầu với mã CVE-2023-4863, mà họ nghĩ chỉ ảnh hưởng đến trình duyệt Chrome. Nhưng hai tuần sau khi sửa vấn đề, các nhà nghiên cứu phát hiện nó tồi tệ hơn so với những gì họ nghĩ, ảnh hưởng đến thư viện ảnh libwebp được sử dụng rộng rãi để hiển thị ảnh định dạng WebP.

Hiện được theo dõi với mã CVE-2023-5129, nó được nghĩ là lỗi ảnh hưởng đến mọi ứng dụng sử dụng thư viện libwebp để xử lý hình ảnh WebP. “Phạm vi của lỗ hổng này rộng hơn nhiều so với những gì ban đầu được giả định, ảnh hưởng đến hàng triệu ứng dụng khác nhau trên toàn thế giới,” công ty an ninh Rezilion viết trong một blog.

Công ty an ninh cũng nghĩ rằng có “rất nhiều khả năng” rằng vấn đề cơ bản trong thư viện libwebp là cùng một vấn đề dẫn đến CVE-2023-41064—một trong những lỗ hổng của Apple được sử dụng làm một phần của chuỗi khai thác BLASTPASS để triển khai phần mềm gián điệp Pegasus của NSO Group.

Microsoft

Tháng Chín của Microsoft Patch Tuesday là một tháng đáng nhớ, khi họ đã sửa khoảng 65 lỗ hổng, trong đó có hai lỗ hổng đang bị tấn công. Được theo dõi với mã CVE-2023-36761, lỗ hổng đầu tiên là một lỗ hổng tiết lộ thông tin trong Microsoft Word có thể làm lộ NTLM hashes.

Lỗ hổng thứ hai và nghiêm trọng nhất là một lỗ hổng tăng cường đặc quyền trong Microsoft Streaming Service Proxy được theo dõi với mã CVE-2023-36802. Một kẻ tấn công thành công có thể có đặc quyền hệ thống, Microsoft nói thêm rằng đã phát hiện sự lợi dụng của lỗ hổng.

Cả hai lỗ hổng đều được đánh dấu là quan trọng, vì vậy là một ý tưởng tốt khi cập nhật thiết bị của bạn ngay khi có thể.

Mozilla Firefox

Firefox đã trải qua một tháng hỗn loạn sau khi Mozilla sửa 10 lỗ hổng trong trình duyệt tôn trọng quyền riêng tư của mình. CVE-2023-5168 là một lỗi ghi ra khỏi giới hạn trong FilterNodeD2D1 ảnh hưởng đến Firefox trên Windows, được đánh giá là có tác động lớn.

CVE-2023-5170 là một lỗ hổng có thể dẫn đến rò rỉ bộ nhớ từ một quy trình có đặc quyền. Điều này có thể được sử dụng để thoát khỏi hộp cát nếu dữ liệu chính xác bị rò rỉ, Mozilla, chủ sở hữu của Firefox, nói trong một thông báo.

Trong khi đó, CVE-2023-5176 bao gồm các lỗi an toàn bộ nhớ được sửa trong Firefox 118, Firefox ESR 115.3 và Thunderbird 115.3. “Một số lỗi này đã cho thấy dấu hiệu của việc hỏng bộ nhớ và chúng tôi giả định rằng với đủ nỗ lực, một số trong số chúng có thể đã bị khai thác để chạy mã tùy ý,” Mozilla nói.

Cisco

Đầu tháng, Cisco phát hành một bản vá cho một lỗ hổng trong việc triển khai đăng nhập một lần của Cisco BroadWorks Application Delivery Platform và Cisco BroadWorks Xtended Services Platform có thể cho phép một kẻ tấn công từ xa chưa xác thực làm giả mật khẩu để truy cập vào một hệ thống bị ảnh hưởng. Được theo dõi dưới dạng CVE-2023-20238, lỗ hổng đã được đánh giá bằng điểm CVSS tối đa là 10.

Cũng trong tháng này, Cisco vá một zero-day trong phần mềm Adaptive Security Appliance và Firepower Threat Defense đã bị khai thác trong các cuộc tấn công ransomware Akira. Được theo dõi dưới dạng CVE-2023-20269 và có một điểm CVSS với mức độ nguy cơ trung bình là 5, lỗ hổng trong tính năng VPN truy cập từ xa của Cisco Adaptive Security Appliance (ASA) Software và Cisco Firepower Threat Defense (FTD) Software có thể cho phép một kẻ tấn công từ xa chưa xác thực thực hiện một cuộc tấn công bruce-force để xác định các kết hợp tên người dùng và mật khẩu hợp lệ.

SAP

Công ty phần mềm doanh nghiệp SAP đã phát hành một số bản vá quan trọng trong khuôn khổ Ngày Bảo mật tháng 9. Điều này bao gồm một bản vá cho CVE-2023-40622, một lỗ hổng tiết lộ thông tin trong SAP BusinessObjects Business Intelligence Platform với một điểm CVSS là 9.9. “Việc khai thác thành công cung cấp thông tin có thể được sử dụng trong các cuộc tấn công sau này, dẫn đến việc tấn công hoàn toàn ứng dụng,” công ty bảo mật Onapsis nói.

CVE-2023-40309 là một vấn đề thiếu kiểm tra ủy quyền trong SAP CommonCryptoLib với một điểm CVSS là 9.8. Lỗ hổng có thể dẫn đến việc gia tăng đặc quyền và trong trường hợp tồi tệ nhất, những kẻ tấn công có thể đe dọa hoàn toàn ứng dụng bị ảnh hưởng, Onapsis cho biết.

Trong khi đó, CVE-2023-42472 là một lỗ hổng không đủ kiểm tra loại tệp trong SAP BusinessObjects Business Intelligence Platform với một điểm CVSS là 8.7.