Bạn Cần Cập Nhật Firefox và Android Ngay Lúc Này

Năm mới đã bắt đầu với các bản cập nhật bảo mật đáng kể được phát hành bởi các công ty như Apple, Google và Microsoft. Tháng Một đã là thời gian bận rộn cho các bản vá doanh nghiệp, với SAP, VMWare và Oracle là một số trong những công ty phát hành các bản vá bảo mật trong tháng này.

Dưới đây là mọi thông tin bạn cần biết về các bản vá bảo mật được phát hành trong tháng Một.

Apple iOS 

Apple đã phát hành iOS 16.3 cùng với một tính năng mới cho phép bạn sử dụng khóa bảo mật như một lớp bảo vệ bổ sung cho Apple ID của bạn. Bản cập nhật mới nhất của Apple cũng đi kèm với 13 bản vá bảo mật, bao gồm ba trong WebKit, công cụ điều khiển trình duyệt Safari, trong đó có hai lỗ hổng có thể cho phép thực thi mã.

Ba vấn đề khác đã được vá trong Kernel của iPhone, nơi là trái tim của iOS. Một trong những lỗ hổng, được theo dõi với mã CVE-2023-23504, khá nghiêm trọng - nếu bị khai thác, có thể dẫn đến một ứng dụng có thể thực thi mã với đặc quyền Kernel.

Apple cũng phát hành iOS 15.7.3 cho người dùng của các chiếc iPhone cũ hơn, vá sửa sáu vấn đề bảo mật bao gồm lỗi thực thi mã Kernel đã được vá trong iOS 16.3. Không có vấn đề nào được sửa trong iOS 15.7.3 hoặc iOS 16.3 được tin rằng đã được sử dụng trong các cuộc tấn công thực tế. Tuy nhiên, Apple đã phát hành iOS 12.5.7 cho các thiết bị cũ để vá một lỗ hổng WebKit đã bị khai thác trước đó, CVE-2022-42856. Nhà sản xuất iPhone đã vá cùng lỗi cho các smartphone sử dụng iOS 15 vào tháng 12.

Các cập nhật của Apple trong tháng Một cũng bao gồm tvOS 16.3, Safari 16.3, macOS Big Sur 11.7.3, macOS Monterey 12.6.3, watchOS 9.3, và macOS Ventura 13.2.

Google Chrome 

Đầu năm bận rộn cho Google với việc sửa 17 lỗ hổng trong trình duyệt Chrome, trong đó có hai lỗ hổng được đánh giá có tác động cao. Lỗ hổng đầu tiên trong hai lỗ hổng này, theo dõi với mã CVE-2023-0128, là một lỗi use-after-free trong Chế độ Tổng quan.

Trong khi đó, CVE-2023-0129 là vấn đề heap buffer overflow trong Dịch vụ Mạng. Tám trong số các lỗ hổng được vá được đánh dấu có tác động trung bình, bao gồm CVE-2023-0130, một lỗi triển khai không phù hợp trong Chế độ Toàn màn hình, và CVE-2023-0137, một vấn đề heap buffer overflow trong Ứng dụng Nền tảng.

Cuối tháng, Google đã vá sáu vấn đề trên Chrome, bao gồm hai vấn đề được đánh giá có tác động cao. CVE-2023-0471 là một lỗi use-after-free trong WebTransport và CVE-2023-0472 là một lỗi use-after-free trong WebRTC.

Những bản vá đầu tiên cho Chrome trong năm 2023 không bao gồm bất kỳ vấn đề nào đã được khai thác trước đó, vì vậy mặc dù cập nhật này quan trọng, nhưng không cần thiết như một số bản phát hành phiên bản gần đây của Google. Năm ngoái, nhà sản xuất trình duyệt đã vá chín lỗ hổng zero day.

Google Android

Google đã đăng Bản Cập Nhật Bảo Mật Android của mình bao gồm một số bản vá cho các thiết bị Android. Lỗ hổng nghiêm trọng nhất là một lỗ hổng bảo mật trong thành phần Framework có thể dẫn đến sự gia tăng đặc quyền cục bộ mà không cần thêm đặc quyền nào khác. CVE-2022-20456 được xếp hạng có mức độ nghiêm trọng cao và ảnh hưởng đến các phiên bản Android từ 10 đến 14. Trong khi đó, CVE-2022-20490 là một lỗi lỗ hổng tăng đặc quyền cục bộ khác không yêu cầu tương tác của người dùng để khai thác.

Google cũng đã vá các lỗ hổng trong Kernel, bao gồm ba lỗi remote code execution (RCE) được đánh dấu là quan trọng. CVE-2022-42719 là một lỗi use-after-free có thể được sử dụng bởi các kẻ tấn công để làm sập Kernel và thực thi mã. Google đã vá một số vấn đề trong Hệ thống, vấn đề nghiêm trọng nhất có thể dẫn đến sự gia tăng đặc quyền cục bộ.

Bản vá bảo mật cho Android có sẵn cho các thiết bị Pixel của Google, có các cập nhật cụ thể riêng, và dòng sản phẩm Galaxy của Samsung, bao gồm Samsung Galaxy Note 10, Galaxy S21, và Galaxy A73. Bạn có thể kiểm tra cập nhật trong cài đặt của bạn.

Microsoft Patch Tuesday

Microsoft đã vá tổng cộng 98 vấn đề bảo mật nặng nề trong ngày Patch Tuesday đầu tiên của năm, bao gồm một lỗ hổng đã được khai thác trước đó: CVE-2023-21674 là một lỗi tăng đặc quyền ảnh hưởng đến Windows Advanced Local Procedure Call có thể dẫn đến thoát khỏi bảo mật trình duyệt.

Bằng cách khai thác lỗi này, một đối thủ có thể đạt được đặc quyền Hệ thống, Microsoft đã viết, xác nhận rằng lỗ hổng đã được phát hiện trong các cuộc tấn công thực tế.

Một lỗ hổng tăng đặc quyền khác trong Giao diện Người dùng Quản lý Credential của Windows, CVE-2023-21726, khá dễ khai thác và không yêu cầu bất kỳ tương tác nào từ người dùng.

Patch Tuesday của tháng Một cũng thấy Microsoft vá chín lỗ hổng Kernel của Windows, trong đó có tám vấn đề tăng đặc quyền và một lỗ hổng tiết lộ thông tin.

Mozilla Firefox

Công ty phần mềm Mozilla đã phát hành các cập nhật quan trọng cho trình duyệt Firefox của họ, trong đó những vấn đề nghiêm trọng nhất đã được Cơ quan An ninh và Hạ tầng Mạng của Mỹ (CISA) cảnh báo.

Trong số 11 lỗi được sửa trong Firefox 109, có bốn lỗi được xếp hạng có tác động cao, bao gồm CVE-2023-23597, một lỗi logic trong việc phân bổ quá trình có thể cho phép kẻ tấn công đọc các tệp tùy ý. Trong khi đó, Mozilla cho biết nhóm an ninh của họ đã tìm thấy lỗi an toàn bộ nhớ trong Firefox 108. “Một số trong những lỗi này cho thấy dấu hiệu của sự hỏng hóc bộ nhớ và chúng tôi giả định rằng với đủ nỗ lực, một số có thể đã được khai thác để chạy mã tùy ý,” họ viết.

Một kẻ tấn công có thể khai thác một số trong những lỗ hổng này để kiểm soát hệ thống bị ảnh hưởng, CISA nói trong hướng dẫn của họ. “CISA khuyến nghị người dùng và quản trị viên xem xét các thông báo an ninh của Mozilla cho Firefox ESR 102.7 và Firefox 109 để biết thêm thông tin và áp dụng các cập nhật cần thiết.”

VMWare

Hãng sản xuất phần mềm doanh nghiệp VMWare đã công bố một hướng dẫn bảo mật chi tiết về bốn lỗ hổng ảnh hưởng đến sản phẩm VMware vRealize Log Insight của họ. Được theo dõi với mã CVE-2022-31706, lỗ hổng đầu tiên là một lỗ hổng điều hướng thư mục với điểm số cơ sở CVSSv3 là 9.8. Bằng cách khai thác lỗ hổng này, một kẻ tấn công độc hại không xác thực có thể tiêm các tệp vào hệ điều hành của một thiết bị bị ảnh hưởng, dẫn đến RCE, VMWare nói.

Trong khi đó, một lỗ hổng RCE điều khiển truy cập bị hỏng được theo dõi với mã CVE-2022-31704 cũng có điểm số cơ sở CVCCv3 là 9.8. Không cần phải nói rằng những người bị ảnh hưởng bởi những lỗ hổng này nên vá càng sớm càng tốt.

Oracle

Tập đoàn phần mềm lớn Oracle đã phát hành các bản vá cho tới 327 lỗ hổng bảo mật, trong đó có 70 lỗ hổng được xếp hạng có tác động nghiêm trọng. Đáng lo ngại, có 200 vấn đề đã được vá trong tháng Một có thể bị kẻ tấn công không xác thực từ xa khai thác.

Oracle đang khuyến nghị mọi người cập nhật hệ thống của họ càng sớm càng tốt, cảnh báo rằng họ đã nhận được báo cáo về “các cố gắng khai thác độc hại lỗ hổng mà Oracle đã phát hành bản vá bảo mật.”

Trong một số trường hợp, đã có báo cáo cho biết các kẻ tấn công đã thành công vì các khách hàng được nhắm mục tiêu đã không áp dụng các bản vá Oracle có sẵn.

SAP

Ngày vá bảo mật của SAP trong tháng Một đã phát hành 12 ghi chú bảo mật mới và được cập nhật. Với điểm số CVSS là 9.0,  CVE-2023-0014 được đánh giá là lỗi nghiêm trọng nhất bởi công ty bảo mật Onapsis. Lỗ hổng ảnh hưởng đến đa số tất cả khách hàng SAP và việc giảm thiểu nó là một thách thức, Onapsis nói.

Lỗ hổng capture-replay là một rủi ro vì nó có thể cho phép người dùng độc hại truy cập vào hệ thống SAP. “Việc vá lỗ hổng hoàn chỉnh bao gồm áp dụng một bản vá kernel, một bản vá ABAP và một di chuyển thủ công của tất cả các điểm đến RFC và HTTP đáng tin cậy,” Onapsis giải thích.