#SựKiệnNgàyHômNay: Apple, Google và Microsoft sửa lỗi bảo mật Zero-Day
Ba gã khổng lồ công nghệ là Apple, Microsoft và Google đã sửa các lỗi bảo mật quan trọng vào tháng 4, trong đó nhiều lỗi đã được sử dụng trong các cuộc tấn công thực tế. Những công ty khác cũng đã phát hành bản vá để khắc phục các lỗ hổng bảo mật trên trình duyệt, nhà cung cấp phần mềm doanh nghiệp và hệ điều hành.
Trong đó, Apple vừa phát hành iOS 16.4.1 và iOS 15.7.5 để sửa hai lỗ hổng được báo cáo bởi Nhóm phân tích mối đe dọa của Google và Phòng thí nghiệm bảo mật của Tổ chức Ân xá Quốc tế. Microsoft cũng phát hành bản cập nhật Patch Tuesday của tháng này để sửa 98 lỗ hổng bảo mật, trong đó có lỗ hổng nâng cao đặc quyền trong Trình điều khiển hệ thống tệp nhật ký chung của Windows.
Ngoài ra, Google cũng đưa ra nhiều bản vá khẩn cấp để khắc phục nhiều lỗ hổng khác nhau trên hệ điều hành Android, trình duyệt Chrome và nút điều hướng Pixel của Google.
Việc sửa lỗi bảo mật là một công tác quan trọng giúp ngăn chặn các cuộc tấn công thực tế và bảo vệ tốt hơn sự an toàn của người dùng. #Apple #Microsoft #Google #bảo mật #sửa lỗi #Zero-Day #iOS #Android #Chrome #Pixel
Nguồn: https://www.wired.com/story/apple-google-microsoft-zero-day-critical-update-april/
gã khổng lồ công nghệ Apple, Microsoft và Google từng sửa các lỗi bảo mật lớn vào tháng 4, nhiều lỗi trong số đó đã được sử dụng trong các cuộc tấn công thực tế. Các công ty khác phát hành bản vá bao gồm trình duyệt tập trung vào quyền riêng tư Firefox và nhà cung cấp phần mềm doanh nghiệp SolarWinds và Oracle.
Đây là mọi thứ bạn cần biết về các bản vá được phát hành vào tháng Tư.
Quả táo
Nóng trên gót chân của iOS16.4Apple đã phát hành iOS 16.4.1 cập nhật để khắc phục hai lỗ hổng đã được sử dụng trong các cuộc tấn công. CVE-2023-28206 là một vấn đề trong IOSurfaceAccelerator có thể thấy một ứng dụng có thể thực thi mã với các đặc quyền kernel, Apple cho biết trên trang hỗ trợ.
CVE-2023-28205 là một sự cố trong WebKit, công cụ cung cấp năng lượng cho trình duyệt Safari, có thể dẫn đến việc thực thi mã tùy ý. Trong cả hai trường hợp, nhà sản xuất iPhone cho biết, “Apple đã biết về một báo cáo rằng vấn đề này có thể đã bị khai thác tích cực.”
Paul Ducklin, một nhà nghiên cứu bảo mật tại công ty an ninh mạng cho biết, lỗi này có nghĩa là việc truy cập một trang web bị cài đặt bẫy có thể giúp tội phạm mạng kiểm soát trình duyệt của bạn — hoặc bất kỳ ứng dụng nào sử dụng WebKit để kết xuất và hiển thị nội dung HTML. Sophos.
Hai lỗ hổng được sửa trong iOS 16.4.1 đã được báo cáo bởi Nhóm phân tích mối đe dọa của Google và Phòng thí nghiệm bảo mật của Tổ chức Ân xá Quốc tế. Khi tính đến điều này, Ducklin cho rằng các lỗ hổng bảo mật có thể đã được sử dụng để cài đặt phần mềm gián điệp.
Apple cũng phát hành iOS15.7.5 cho người dùng iPhone cũ hơn để sửa các lỗi tương tự đã bị khai thác. Trong khi đó, nhà sản xuất iPhone đã phát hành macOS Ventura 13.3.1, Safari 16.4.1, macOS Monterey 12.6.5 và macOS Big Sur 11.7.6.
Microsoft
Apple không phải là công ty công nghệ lớn duy nhất phát hành các bản vá lỗi khẩn cấp vào tháng Tư. Microsoft cũng đã phát hành một bản sửa lỗi khẩn cấp như một phần của bản cập nhật Patch Tuesday của tháng này. CVE-2023-28252 là một lỗi nâng cao đặc quyền trong Trình điều khiển hệ thống tệp nhật ký chung của Windows. Microsoft cho biết kẻ tấn công đã khai thác thành công lỗ hổng này có thể giành được các đặc quyền của hệ thống. tham mưu.
Một lỗ hổng đáng chú ý khác, CVE-2023-21554, là lỗ hổng thực thi mã từ xa trong Microsoft Message Queuing được dán nhãn là có tác động nghiêm trọng. Microsoft cho biết, để khai thác lỗ hổng, kẻ tấn công cần gửi một gói MSMQ độc hại đến máy chủ MSMQ, điều này có thể dẫn đến việc thực thi mã từ xa ở phía máy chủ.
Bản sửa lỗi này là một phần của hàng loạt bản vá cho 98 lỗ hổng, vì vậy bạn nên xem qua lời khuyên và cập nhật càng sớm càng tốt.
Google Android
Google đã phát hành nhiều bản vá cho hệ điều hành Android của mình, khắc phục một số lỗ hổng nghiêm trọng. Lỗi nghiêm trọng nhất là lỗ hổng bảo mật nghiêm trọng trong thành phần hệ thống có thể dẫn đến thực thi mã từ xa mà không cần thêm đặc quyền thực thi, Google cho biết trong báo cáo của mình. Bản tin bảo mật Android. Tương tác người dùng là không cần thiết để khai thác.
Các vấn đề được vá bao gồm 10 lỗi trong khuôn khổ, bao gồm 8 lỗ hổng nâng cao đặc quyền và 9 lỗ hổng khác được đánh giá là có mức độ nghiêm trọng cao. Google đã sửa 16 lỗi trong hệ thống bao gồm hai lỗi RCE nghiêm trọng và một số sự cố trong các thành phần nhân và SoC.
Bản cập nhật cũng bao gồm một số Pixel cụ thể các bản vá, bao gồm lỗ hổng nâng cao đặc quyền trong nhân được theo dõi là CVE-2023-0266. Bản vá Android tháng 4 có sẵn cho các thiết bị cũng như kiểu máy của Google bao gồm Dòng Galaxy S của Samsung cùng với dòng Fold và Flip.
Google Chrome
Vào đầu tháng 4, Google đã phát hành một vá để khắc phục 16 sự cố trong trình duyệt Chrome phổ biến của mình, một số sự cố nghiêm trọng. Các lỗ hổng được vá bao gồm CVE-2023-1810, sự cố tràn bộ đệm heap trong Visuals được đánh giá là có tác động lớn và CVE-2023-1811, lỗ hổng sử dụng sau khi sử dụng miễn phí trong Frames. 14 lỗi bảo mật còn lại được đánh giá là có mức độ ảnh hưởng trung bình hoặc thấp.
Vào giữa tháng, Google buộc phải phát hành một bản cập nhật khẩn cấp, lần này là để sửa hai lỗ hổng, một trong số đó đã được sử dụng trong các cuộc tấn công thực tế. CVE-2023-2033 là một loại lỗ hổng nhầm lẫn trong công cụ JavaScript V8. “Google biết rằng một khai thác cho CVE-2023-2033 tồn tại trong tự nhiên,” gã khổng lồ phần mềm cho biết trên trang web của mình. Blog.
Chỉ vài ngày sau, Google phát hành một bản vá khác, khắc phục các sự cố bao gồm một lỗ hổng zero-day khác được theo dõi là CVE-2023-2136, một lỗi tràn số nguyên trong công cụ đồ họa Skia.
