Apple Vừa Sửa 39 Lỗ Hổng Bảo Mật trên iPhone

Tháng Bảy đã là một tháng cập nhật quan trọng, bao gồm cả các bản vá cho những lỗ hổng đã bị khai thác trước đây trong các sản phẩm của Microsoft và Google. Tháng này cũng chứng kiến bản cập nhật iOS đầu tiên của Apple sau tám tuần, sửa chữa hàng chục lỗ hổng bảo mật trên iPhone và iPad.

Các lỗ hổng bảo mật tiếp tục tác động đến các sản phẩm doanh nghiệp, với các bản vá tháng Bảy được phát hành cho phần mềm của SAP, Cisco và Oracle. Dưới đây là những điều bạn cần biết về các lỗ hổng đã được sửa trong tháng Bảy.

Apple iOS 15.6

Apple vừa phát hành iOS và iPadOS 15.6 để sửa 39 lỗ hổng bảo mật, bao gồm một vấn đề trong Apple File System (APFS) được theo dõi là CVE-2022-32832. Nếu bị khai thác, lỗ hổng có thể cho phép một ứng dụng thực thi mã với đặc quyền hạt nhân, theo trang hỗ trợ của Apple, mang lại quyền truy cập sâu rộng vào thiết bị của bạn.

Các bản vá khác của iOS 15.6 sửa các lỗ hổng trong hạt nhân và động cơ trình duyệt WebKit, cũng như các lỗ hổng trong IOMobileFrameBuffer, Âm thanh, Thư viện ảnh iCloud, ImageIO, Apple Neural Engine và GPU Drivers.

Apple không biết về bất kỳ lỗ hổng đã được vá nào được sử dụng trong các cuộc tấn công, nhưng một số lỗ hổng là khá nghiêm trọng - đặc biệt là những lỗ hổng ảnh hưởng đến hạt nhân ở trung tâm của hệ điều hành. Cũng có khả năng kết hợp các lỗ hổng trong các cuộc tấn công, vì vậy hãy đảm bảo bạn cập nhật ngay khi có thể.

Các bản vá iOS 15.6 được phát hành kèm theo watchOS 8.7, tvOS 15.6, macOS Monterey 12.5, macOS Big Sur 11.6.8 và macOS Catalina 10.15.7 2022-005.

Google Chrome

Google đã phát hành một bản vá khẩn cấp cho trình duyệt Chrome của mình vào tháng 7, sửa bốn vấn đề, bao gồm một lỗ hổng zero-day đã bị khai thác trước đó. Được theo dõi dưới dạng CVE-2022-2294 và được báo cáo bởi các nhà nghiên cứu An ninh đe dọa của Avast, lỗ hổng tổn thương bộ nhớ trong WebRTC đã bị lạm dụng để thực thi shellcode trong quá trình vẽ của Chrome.

Lỗ hổng đã được sử dụng trong các cuộc tấn công nhắm mục tiêu chống lại người dùng Avast ở Trung Đông, bao gồm các nhà báo tại Liban, để phát tán phần mềm gián điệp có tên DevilsTongue.

Dựa trên phần mềm độc hại và chiến thuật được sử dụng để thực hiện cuộc tấn công, Avast gán cho việc sử dụng zero-day của Chrome cho Candiru, một công ty có trụ sở tại Israel bán phần mềm gián điệp cho các chính phủ.

Patch Tuesday của Microsoft

Patch Tuesday của Microsoft trong tháng 7 là một bản vá lớn, sửa 84 vấn đề bảo mật bao gồm một lỗ hổng đã được sử dụng trong các cuộc tấn công thực tế. Lỗ hổng, CVE-2022-22047, là một lỗ hổng eskalasi đặc quyền cục bộ trong Windows Client/Server Runtime Subsystem (CSRSS) trên các nền tảng máy chủ và máy khách Windows, bao gồm cả các phiên bản Windows 11 và Windows Server 2022 mới nhất. Một kẻ tấn công có khả năng khai thác thành công lỗ hổng có thể đạt được đặc quyền hệ thống, theo Microsoft.

Trong số 84 vấn đề được vá trong Patch Tuesday của Microsoft tháng 7, có 52 lỗ hổng eskalasi đặc quyền, bốn lỗ hổng mòn tính năng bảo mật và 12 vấn đề thực thi mã từ xa.

Bản vá bảo mật của Microsoft đôi khi gây ra các vấn đề khác, và bản cập nhật tháng 7 cũng không ngoại lệ: Sau khi phát hành, một số người dùng phát hiện ứng dụng chạy MS Access không mở được. May mắn thay, công ty đang triển khai một bản vá.

Bản Cập Nhật Bảo Mật Tháng 7 cho Android

Google đã phát hành bản cập nhật cho hệ điều hành Android của mình trong tháng 7, bao gồm một bản vá cho một lỗ hổng bảo mật nghiêm trọng trong thành phần Hệ thống có thể dẫn đến thực thi mã từ xa mà không cần đặc quyền bổ sung.

Google cũng đã sửa các vấn đề nghiêm trọng trong hạt nhân - có thể dẫn đến rò rỉ thông tin - và khung làm việc, có thể dẫn đến eskalasi đặc quyền cục bộ. Trong khi đó, các bản vá cụ thể của nhà cung cấp từ MediaTek, Qualcomm và Unisoc đã sẵn có nếu thiết bị của bạn sử dụng các vi xử lý đó. Các thiết bị Samsung đang bắt đầu nhận bản vá tháng 7, và Google cũng phát hành cập nhật cho dòng điện thoại Pixel của mình.

SAP

Nhà sản xuất phần mềm SAP đã phát hành 27 ghi chú bảo mật mới và cập nhật trong Khoáng An Toàn Tháng 7 của mình, sửa nhiều lỗ hổng nghiêm trọng. Được theo dõi dưới dạng CVE-2022-35228, vấn đề nghiêm trọng nhất là một lỗ hổng tiết lộ thông tin trong bảng điều khiển quản lý trung tâm của nền tảng Business Objects của nhà cung cấp.

Lỗ hổng cho phép một kẻ tấn công chưa được xác thực thu thập thông tin token qua mạng, theo công ty an ninh Onapsis. “May mắn thay, một cuộc tấn công như vậy sẽ yêu cầu một người dùng hợp lệ truy cập ứng dụng”, công ty thêm vào. Tuy nhiên, việc vá lỗ hổng vẫn quan trọng và cần thực hiện ngay.

Oracle

Oracle đã phát hành 349 bản vá trong Bản Cập Nhật Bảo Mật Quan Trọng Tháng 7 năm 2022 của mình, bao gồm cả bản vá cho 230 lỗ hổng có thể bị khai thác từ xa.

Bản Cập Nhật Bảo Mật của Oracle trong Tháng 4 bao gồm 520 bản vá an ninh, một số trong số đó giải quyết CVE-2022-22965, còn được biết đến là Spring4Shell, một lỗ hổng thực thi mã từ xa trong khung công việc spring. Bản cập nhật của Oracle trong tháng 7 tiếp tục giải quyết vấn đề này.

Trong tháng 7, gia đình sản phẩm ứng dụng Dịch vụ Tài chính của Oracle đòi hỏi số lượng bản vá cao nhất là 59, chiếm 17% tổng số, tiếp theo là Oracle Communications với 56 bản vá - chiếm 16% tổng số, theo công ty an ninh Tenable.

Do mối đe dọa từ một cuộc tấn công thành công, Oracle “mạnh mẽ khuyến cáo” bạn nên áp dụng bản vá bảo mật tháng 7 ngay khi có thể.

Cisco

Nhà cung cấp phần mềm Cisco đã sửa nhiều lỗ hổng trong Cisco Nexus Dashboard có thể cho phép một kẻ tấn công thực hiện các lệnh tùy ý, đọc hoặc tải lên các tệp hình ảnh container, hoặc thực hiện các cuộc tấn công giả mạo yêu cầu giữa các trang.

Được theo dõi dưới dạng CVE-2022-20857 và được đánh giá là “nghiêm trọng” với một điểm nghiêm trọng là 9.8 trên 10, một trong những lỗ hổng tồi tệ nhất có thể cho phép một kẻ tấn công từ xa không được xác thực thực hiện một cuộc tấn công giả mạo yêu cầu giữa các trang trên một thiết bị bị ảnh hưởng.

SonicWall

SonicWall đang kêu gọi người dùng cập nhật ngay lập tức sau khi phát hành một bản vá để sửa một lỗ hổng SQL injection nghiêm trọng. Lỗ hổng, được theo dõi dưới dạng CVE-2022-22280 với một điểm CVSS là 9.4, không tin rằng đã được sử dụng trong bất kỳ cuộc tấn công thực tế nào, nhưng nó là nghiêm trọng. Chính vì lý do này mà công ty đang khuyến nghị người dùng nâng cấp lên GMS 9.3.1-SP2-Hotfix-2 và Analytics 2.5.0.3-Hotfix-1.

Atlassian

Ngay sau bản vá bảo mật của tháng 6, Atlassian đã phát hành một bản vá quan trọng khác cho tháng 7, vá các lỗ hổng nghiêm trọng ảnh hưởng đến người dùng Confluence, Jira, Bamboo, Fisheye, Crucible và Bitbucket.

CVE-2022-26136 là một lỗ hổng trong nhiều sản phẩm của Atlassian cho phép một kẻ tấn công từ xa không được xác thực tránh qua Servlet Filters được sử dụng bởi ứng dụng của bên thứ nhất và thứ ba. Lỗ hổng này có thể dẫn đến tránh qua xác thực và kịch bản chéo trang.

Lỗ hổng thứ hai, được theo dõi dưới dạng CVE-2022-26137, là một lỗ hổng tránh qua chia sẻ tài nguyên nguồn gốc ở nhiều sản phẩm của Atlassian cho phép một kẻ tấn công từ xa không được xác thực gây ra việc gọi thêm Servlet Filters khi ứng dụng xử lý các yêu cầu.

Trong khi đó, CVE-2022-26138 là một lỗ hổng đáng sợ có thể cho phép một kẻ tấn công từ xa không được xác thực, biết mật khẩu cứng cố để đăng nhập vào Confluence và truy cập tất cả nội dung mà người dùng trong nhóm người dùng có thể truy cập.

Nếu bạn đang sử dụng các sản phẩm bị ảnh hưởng, hãy cập nhật ngay lập tức.

Cập nhật 8-1-22, 11 giờ sáng ET: Câu chuyện này đã được cập nhật để đếm tổng số CVE mà Apple đã vá trong bản cập nhật iOS 15.6 thay vì các phần của hệ thống bị ảnh hưởng, nâng số lượng từ 37 lên 39.