Mùa Hè Nóng Bỏng với Các Bản Sửa Lỗi Bảo Mật của Apple, Google, và Microsoft

Mùa hè của chu kỳ vá không có dấu hiệu chậm lại, với các gigants công nghệ Apple, Google, và Microsoft phát hành nhiều bản cập nhật để sửa các lỗ hổng được sử dụng trong các cuộc tấn công thực tế. Tháng 7 cũng chứng kiến những lỗi nghiêm trọng được khắc phục bởi các công ty phần mềm doanh nghiệp như SAP, Citrix, và Oracle.

Đây là mọi thông tin bạn cần biết về các bản vá quan trọng được phát hành trong tháng.

Apple iOS và iPadOS 16.6

Tháng 7 nhộn nhịp của Apple sau khi phát hành hai bản cập nhật bảo mật riêng biệt trong tháng. Bản cập nhật đầu tiên của nhà sản xuất iPhone đến dưới dạng bản vá Bảo mật Nhanh Chóng.

Đó chỉ là lần thứ hai Apple phát hành một Phản Ứng Bảo Mật Nhanh Chóng, và quá trình này không được mượt mà như lần đầu tiên. Vào ngày 10 tháng 7, Apple phát hành iOS 16.5.1 9 (a) để sửa một lỗ hổng duy nhất trong WebKit đã được sử dụng trong các cuộc tấn công, nhưng nhà sản xuất iPhone nhanh chóng thu hồi nó sau khi phát hiện rằng bản vá làm hỏng một số trang web cho người dùng. Apple tái phát hành bản cập nhật dưới dạng iOS 16.5.1 (c) vài ngày sau đó, cuối cùng là sửa lỗi WebKit mà không gây hỏng hóc gì khác.

Cuối tháng, bản nâng cấp chính iOS 16.6 của Apple xuất hiện với 25 bản vá bảo mật, bao gồm cả lỗ hổng WebKit đã được sửa trong iOS 16.5.1 (c), được theo dõi là CVE-2023-37450.

Trong số các lỗi khác được khắc phục trong iOS 16.6 là 11 lỗi trong Kernel tại lõi của hệ điều hành iOS, trong đó Apple nói rằng có một lỗi đang được sử dụng trong các cuộc tấn công. Lỗ hổng Kernel là vấn đề iOS thứ ba được phát hiện bởi công ty bảo mật Kaspersky như một phần của cuộc tấn công phần mềm gián điệp “Triangulation” không cần click.

Apple cũng phát hành iOS 15.7.8 cho người dùng thiết bị cũ, cũng như iPadOS 16.6, Safari 16.6, macOS Ventura 13.5, macOS Monterey 12.6.8, macOS Big Sur 11.7.9, tvOS 16.6, và watchOS 9.6.

Microsoft

Thứ Ba Patch của Microsoft tháng 7 là một bản cập nhật cần chú ý vì nó vá 132 lỗ hổng, bao gồm nhiều lỗ hổng zero-day. Đầu tiên và quan trọng nhất: Một trong những lỗi chi tiết trong bản vá, được theo dõi là CVE-2023-36884, vẫn chưa được sửa. Trong lúc chờ, công ty công nghệ này đã cung cấp các bước giảm nhẹ lỗi đã bị tấn công, có vẻ như đã được sử dụng trong các cuộc tấn công bởi một băng đảng tội phạm mạng Nga.

Các lỗ hổng zero-day khác trong Patch Tuesday của Microsoft bao gồm CVE-2023-32046, một lỗi tăng cường đặc quyền nền tảng trong thành phần cốt lõi MSHTML của Windows, và CVE-2023-36874, một lỗ hổng trong dịch vụ Windows Error Reporting có thể cho phép một kẻ tấn công có quyền admin. Trong khi đó, CVE-2023-32049 là một lỗ hổng đã bị tấn công trong tính năng Windows SmartScreen.

Tất nhiên, bạn nên cập nhật ngay lập tức và chú ý đến việc vá cho CVE-2023-36884.

Google Android

Google đã cập nhật hệ điều hành Android của mình, vá hàng chục lỗ hổng bảo mật, bao gồm ba lỗ hổng mà họ nói là “có thể bị khai thác hạn chế, nhắm mục tiêu.”

Một trong số các lỗ hổng đã bị tấn công trước đây là CVE-2023-2136, một lỗi thực thi mã từ xa (RCE) trong Hệ thống với điểm CVSS là 9.6. Lỗ hổng bảo mật quan trọng này có thể dẫn đến RCE mà không cần đặc quyền bổ sung, theo thông tin của công ty công nghệ. “Không cần tương tác người dùng để khai thác,” Google cảnh báo.

CVE-2023-26083 là một vấn đề trong trình điều khiển Arm Mali GPU cho các vi xử lý Bifrost, Avalon và Valhall, được đánh giá có tác động vừa phải. Lỗ hổng này đã được sử dụng để gửi phần mềm gián điệp đến các thiết bị Samsung vào tháng 12 năm 2022.

CVE-2021-29256 là một lỗ hổng nghiêm trọng cũng ảnh hưởng đến trình điều khiển hạt nhân Arm Mali GPU Bifrost và Midgard.

Các bản cập nhật Android đã đến các thiết bị Pixel của Google và một số dòng Galaxy của Samsung. Với mức độ nghiêm trọng của lỗi trong tháng này, việc kiểm tra xem bản cập nhật có sẵn và cài đặt ngay bây giờ là một ý tưởng tốt.

Google Chrome 115

Google đã phát hành bản cập nhật Chrome 115 cho trình duyệt phổ biến của mình, sửa 20 lỗ hổng bảo mật, trong đó có bốn lỗ hổng được đánh giá có tác động cao. CVE-2023-3727 và CVE-2023-3728 là lỗi use-after-free trong WebRTC. Lỗ hổng thứ ba được đánh giá có mức độ nghiêm trọng cao là CVE-2023-3730, một lỗ hổng use-after-free trong Tab Groups, trong khi CVE-2023-3732 là một lỗi truy cập bộ nhớ out-of-bounds trong Mojo.

Sáu trong số các lỗi được liệt kê có độ nghiêm trọng trung bình, và không có lỗ hổng nào được biết đến là đã được sử dụng trong các cuộc tấn công thực tế. Tuy nhiên, Chrome là một nền tảng được tập trung mục tiêu rất cao, vì vậy hãy kiểm tra hệ thống của bạn để cập nhật.

Firefox 115

Ngay sau Chrome 115, trình duyệt đối thủ Mozilla đã phát hành Firefox 115, sửa một số lỗ hổng mà hãng đánh giá có mức độ nghiêm trọng cao. Trong số đó có hai lỗi use-after-free được theo dõi là CVE-2023-37201 và CVE-2023-37202.

Nhà sản xuất trình duyệt quan tâm đến quyền riêng tư cũng đã sửa hai lỗi an toàn bộ nhớ được theo dõi là CVE-2023-37212 và CVE-2023-37211. Các lỗ hổng an toàn bộ nhớ hiện diện trong Firefox 114, Firefox ESR 102.12 và Thunderbird 102.12, Mozilla nói trong một thông báo, thêm vào: “Một số lỗi này đã cho thấy dấu hiệu của sự hỏng về bộ nhớ, và chúng tôi giả định rằng với đủ nỗ lực, một số lỗi này có thể đã bị khai thác để chạy mã tùy ý.”

Citrix

Tập đoàn phần mềm doanh nghiệp Citrix đã phát hành cảnh báo cập nhật sau khi sửa nhiều lỗ hổng trong công cụ NetScaler ADC (trước đây là Citrix ADC) và NetScaler Gateway (trước đây là Citrix Gateway), trong đó có một lỗ hổng đã được sử dụng trong các cuộc tấn công.

Được theo dõi là CVE-2023-3519, lỗ hổng đã bị khai thác trước đó là một lỗ hổng thực thi mã từ xa không xác thực trong NetScaler ADC và NetScaler Gateway, nghiêm trọng đến mức đã được gán điểm CVSS là 9.8. “Các cuộc tấn công sử dụng CVE-2023-3519 trên các thiết bị không được giảm nhẹ đã được quan sát,” Citrix nói. “Nhóm Phần mềm Đám mây mạnh mẽ khuyến nghị cho khách hàng bị ảnh hưởng của NetScaler ADC và NetScaler Gateway cài đặt các phiên bản cập nhật có liên quan ngay lập tức.”

Lỗ hổng cũng là đề tài của một cảnh báo từ Cơ quan An ninh và Hạ tầng Mạng lưới CISA của Mỹ, cảnh báo rằng lỗi đã được sử dụng trong các cuộc tấn công vào một tổ chức cơ sở hạ tầng quan trọng vào tháng 6.

SAP

SAP, một công ty phần mềm doanh nghiệp khác, đã phát hành Ngày Cập nhật Bảo mật Tháng 7 của mình, bao gồm 16 bản vá bảo mật. Lỗ hổng nghiêm trọng nhất là CVE-2023-36922, một lỗ hổng tiêm lệnh hệ thống với điểm CVSS là 9.1.

Lỗi cho phép kẻ tấn công đã xác thực “tiêm một lệnh hệ thống hoạt động tùy ý vào một giao dịch và chương trình có lỗ hổng,” công ty bảo mật Onapsis nói. “Việc vá lỗ hổng được khuyến nghị mạnh mẽ, vì một cuộc tấn công thành công vào lỗ hổng này có tác động lớn đến tính bảo mật, tính toàn vẹn và khả năng sẵn có của hệ thống SAP bị ảnh hưởng,” nó cảnh báo.

Trong khi đó, CVE-2023-33989 là một lỗ hổng luồng thư mục trong SAP NetWeaver với điểm CVSS là 8.7, và CVE-2023-33987 là một lỗ hổng đóng gói yêu cầu và liên kết yêu cầu trong SAP Web Dispatcher với điểm CVSS là 8.6.

Oracle

Công ty phần mềm Oracle đã phát hành Lời khuyên Bản vá Quan trọng Tháng 7 của mình, sửa 508 lỗ hổng trong các sản phẩm của họ. Trong số các bản vá có 77 bản vá bảo mật mới cho Oracle Communications. Oracle cảnh báo rằng 57 trong số các lỗ hổng này có thể bị khai thác từ xa trên mạng mà không cần thông tin đăng nhập của người dùng. Một trong những lỗ hổng tồi tệ nhất là CVE-2023-20862, được gán điểm CVSS là 9.8.

Trong khi đó, có 147 bản vá cho Dịch vụ Tài chính của Oracle, và Fusion Middleware nhận được 60 bản vá.

Oracle cho biết họ vẫn tiếp tục nhận được báo cáo về việc tấn công khai thác các lỗ hổng mà họ đã vá. Trong một số trường hợp, kẻ tấn công đã thành công vì khách hàng bị nhắm đến đã không áp dụng các bản vá của Oracle có sẵn, họ nói. “Do đó, Oracle mạnh mẽ khuyến nghị khách hàng duy trì các phiên bản đang được hỗ trợ và áp dụng các bản vá bảo mật Critical Patch Update ngay lập tức,” họ nhấn mạnh.