Cập Nhật Android Ngay Bây Giờ để Khắc Phục Một Lỗ Hổng Đáng Sợ về Thực Thi Từ Xa

Mùa lễ hội sắp kết thúc, nhưng bản vá bảo mật vẫn tiếp tục đến đầy rất nhanh trong tháng 12. Tháng này đã chứng kiến sự ra mắt của các bản cập nhật từ Apple, Google và Microsoft, cũng như các công ty phần mềm doanh nghiệp như SAP, Citrix và VMWare. 

Nhiều trong số các bản vá sửa các lỗ hổng zero-day đã bị tận dụng trong các cuộc tấn công, làm cho việc áp dụng chúng càng sớm càng quan trọng. Dưới đây là tổng quan về tất cả các bản vá được phát hành trong tháng 12.

Apple iOS và iPadOS 16.2, iOS 15.7.2, iOS 16.1.2

Trong tháng 12, Apple đã phát hành một bản nâng cấp lớn cho hệ điều hành iOS 16 của mình: iOS 16.2. Bản cập nhật đi kèm với các tính năng bao gồm mã hóa từ đầu đến cuối trong iCloud, nhưng cũng sửa chữa 35 lỗ hổng bảo mật.

Không có vấn đề nào được vá trong iOS 16.2 được biết đến đã được sử dụng trong các cuộc tấn công; tuy nhiên, nhiều vấn đề khá nghiêm trọng. Các lỗ hổng bao gồm sáu trong Kernel và chín trong hệ thống điều khiển trình duyệt Safari của Apple, WebKit, có thể cho phép một kẻ tấn công thực thi mã. 

Apple cũng phát hành iOS 15.7.2 cho người dùng của các mẫu iPhone cũ không thể chạy iOS 16, để khắc phục một lỗ hổng đã được sử dụng trong các cuộc tấn công. Được theo dõi dưới dạng CVE-2022-42856, lỗ hổng WebKit có thể cho phép một kẻ tấn công thực thi mã, theo trang hỗ trợ của Apple. Cuối tháng 11, Apple đã sửa lỗi WebKit tương tự trong iOS 16.1.2.

Kể từ khi ra mắt iOS 16 vào tháng 9, Apple đã cung cấp các bản cập nhật bảo mật cho những người không muốn nâng cấp lên hệ điều hành mới. Nhưng iOS 15.7.2 chỉ dành cho các mẫu iPhone cũ, nên nếu bạn sở hữu một chiếc iPhone từ iPhone 8 trở lên, bạn cần nâng cấp lên iOS 16 để duy trì an toàn. 

Nhà sản xuất iPhone cũng phát hành macOS Ventura 13.1, watchOS 9.2, tvOS 16.2, macOS Big Sur 11.7.2, macOS Monterey 12.6.2, và Safari 16.2.

Hệ điều hành Google Android 

Tháng 12 là một tháng nặng ký với Google’s Android operating system, với các bản vá cho hàng chục lỗ hổng bảo mật được phát hành trong tháng. Được theo dõi dưới dạng CVE-2022-20411, lỗ hổng nghiêm trọng nhất là một lỗ hổng nguy cơ cao trong thành phần System có thể dẫn đến thực thi mã từ xa qua Bluetooth mà không cần thêm quyền thực thi, theo Google nói trong một bản tin bảo mật. 

Google cũng sửa hai lỗ hổng nghiêm trọng trong thành phần Android Framework, là CVE-2022-20472 và CVE-2022-20473. Trong khi đó, 151 lỗi cụ thể cho Pixel đã được khắc phục bởi Google trong tháng 12. 

Bản vá tháng 12 đã được phát hành cho các thiết bị Pixel của Google cũng như các smartphone của Samsung, bao gồm cả dòng Galaxy cao cấp của nhà sản xuất này. 

Google Chrome 108

Google đã phát hành một bản cập nhật khẩn cấp cho trình duyệt Chrome của mình để khắc phục lỗ hổng zero-day thứ chín trong năm. Được theo dõi dưới dạng CVE-2022-4262, vấn đề nhầm lẫn loại cao về tính nhất quán trong engine JavaScript V8 của Chrome có thể cho phép một kẻ tấn công từ xa khai thác lỗi hủy bộ nhớ thông qua một trang HTML được chế tạo. “Google nhận thức rằng một kỹ thuật tận dụng cho CVE-2022-4262 đã tồn tại trong thực tế,” nhà sản xuất trình duyệt nói trong một blog.

Bản cập nhật khẩn cấp đã đến chỉ vài ngày sau khi Google phát hành Chrome 108, khắc phục 28 lỗ hổng bảo mật. Trong số các sửa lỗi có CVE-2022-4174—một lỗ hổng nhầm lẫn loại trong V8—và một số lỗi use-after-free. Theo Google, không có lỗ hổng nào được khai thác trong các cuộc tấn công. Nhưng với việc lỗ hổng mới nhất đã nằm trong tay của những kẻ tấn công, việc cập nhật Chrome càng sớm càng tốt.

Microsoft Patch Tuesday 

Tháng 12 của Microsoft Patch Tuesday là một trong những bản vá lớn khác, khắc phục 49 lỗ hổng bảo mật, bao gồm một lỗ hổng đang được sử dụng trong các cuộc tấn công. Được theo dõi dưới dạng CVE-2022-44698, vấn đề là một lỗ hổng mạng lưới an ninh Windows SmartScreen có thể dẫn đến mất tính toàn vẹn và khả năng sẵn có.

“Một kẻ tấn công có thể tạo ra một tệp độc hại sẽ tránh qua các biện pháp phòng vệ Mark of the Web (MOTW), dẫn đến việc mất mát hạn chế về tính toàn vẹn và khả năng sẵn có của các tính năng an ninh như Protected View trong Microsoft Office, mà dựa vào MOTW tagging,” Microsoft cho biết.

Một lỗ hổng nghiêm trọng khác là một lỗ hổng tăng quyền ưu tiên trong kernel đồ họa DirectX được theo dõi dưới dạng CVE-2022-44710. Một cuộc tấn công thành công có thể cho phép một đối thủ tiềm ẩn có được đặc quyền hệ thống.

Sáu trong số những vấn đề được vá trong tháng 12 là các lỗ hổng thực thi mã từ xa (RCE) được đánh giá là nghiêm trọng, vì vậy đáng giá để cập nhật ngay lập tức.

Tuy nhiên, cũng đáng lưu ý rằng bản cập nhật Patch Tuesday mới nhất đang gây vấn đề cho một số người dùng Windows 10. Mặc dù có một biện pháp khắc phục, Microsoft đã hứa sẽ có một bản cập nhật bổ sung để giải quyết vấn đề này.

Citrix

Nhà sản xuất phần mềm Citrix đã phát hành một bản vá khẩn cấp cho một lỗ hổng mà họ nói đang được sử dụng trong các cuộc tấn công. Được theo dõi dưới dạng CVE-2022-27518, vấn đề trong Citrix Gateway và Citrix ADC có thể cho phép một kẻ tấn công từ xa chưa được xác thực thực hiện thực thi mã tùy ý trên thiết bị, Citrix cho biết trong một bản tin. “Các kỹ thuật tận dụng vấn đề này trên các thiết bị chưa được kiểm soát đã được báo cáo,” Citrix nói.

Công ty “mạnh mẽ khuyến nghị” khách hàng của Citrix ADC và Citrix Gateway bị ảnh hưởng cài đặt các phiên bản cập nhật liên quan ngay lập tức.

Cơ quan An ninh Quốc gia (NSA) đã liên kết các cuộc tấn công với APT5, một nhóm hacker có liên quan đến Trung Quốc còn được biết đến với tên gọi Keyhole Panda hoặc Manganese tập trung vào viễn thông, sản xuất công nghệ cao, và công nghệ ứng dụng quân sự. Cơ quan này đã công bố Hướng dẫn theo dõi Rủi ro để giúp các tổ chức phát hiện dấu hiệu của cuộc tấn công.

Fortinet

Nhà cung cấp dịch vụ an ninh Fortinet đã vá một lỗ hổng tràn bộ đệm dựa trên heap trong FortiOS SSL-VPN có thể cho phép một kẻ tấn công từ xa không xác thực thực thi mã hoặc lệnh tùy ý thông qua các yêu cầu được tạo ra đặc biệt. Được theo dõi dưới dạng CVE-2022-42475, lỗ hổng có một điểm số CVSSv3 là 9.3 và đã được sử dụng trong các cuộc tấn công. 

“Fortinet nhận thức về một trường hợp mà trong đó lỗ hổng này đã được khai thác trong thực tế, và khuyến nghị ngay lập tức xác minh hệ thống của bạn,” công ty nói. Nó đã liệt kê một số chỉ số của sự cố để các tổ chức cần theo dõi.

VMWare

Ông lớn phần mềm VMWare đã giải quyết một lỗ hổng ghi heap nằm ngoài biên trong bộ điều khiển USB 2.0 (EHCI) trong VMware ESXi, Workstation và Fusion. Được theo dõi dưới dạng CVE-2022-31705 và với điểm số cơ bản CVSSv3 là 9.3, lỗ hổng đã được khai thác bởi các nhà nghiên cứu an ninh tại sự kiện hack GeekPwn 2022.

Công ty cũng đã khắc phục một lỗ hổng chạy lệnh và một lỗ hổng duyệt thư mục trong sản phẩm VMware vRealize Network Insight của mình, được theo dõi dưới dạng CVE-2022-31702 và CVE-2022-31703. Bằng cách khai thác thành công lỗ hổng đầu tiên, một đối thủ có quyền truy cập mạng đối với giao diện API REST của vRNI có thể thực hiện các lệnh mà không cần xác thực.

VMware cho biết vấn đề nằm trong phạm vi nghiêm trọng với điểm số cơ bản CVSSv3 tối đa là 9.8. Lỗ hổng thứ hai có điểm số CVSSv3 là 7.5 và có thể cho phép những đối tác độc hại có quyền truy cập mạng đối với giao diện API REST của vRNI đọc các tệp tùy ý từ máy chủ.

SAP

Ngày Bảo mật tháng 12 của SAP bao gồm 20 bản vá mới và cập nhật. Một trong những lỗ hổng nghiêm trọng nhất, với điểm số CVSSv3 là 9.9, là một lỗ hổng nghiêm trọng về server-side request forgery trong SAP BusinessObjects. 

“Những kẻ tấn công có đặc quyền người dùng BI bình thường có thể tải lên và thay thế bất kỳ tệp nào trên máy chủ Business Objects ở cấp độ hệ điều hành,” công ty an ninh Onapsis nói. “Điều này cho phép kẻ tấn công kiểm soát đầy đủ hệ thống và có ảnh hưởng đáng kể đến tính bảo mật, tính toàn vẹn và tính sẵn có của ứng dụng.”