Cập nhật bản vá lỗ hổng bảo mật tháng 11/2021

Thứ sáu, 10/12/2021 01:36

Trong tháng 11/2021, Microsoft, Adobe và SAP đã phát hành các bản cập nhật bảo mật cho các sản phẩm của mình. Người dùng cần khẩn trương cập nhật bản vá để phòng tránh rủi ro mất an toàn thông tin.

20211214-ta10.jpg

Microsoft

Trung tuần tháng 11, Microsoft đã phát hành bản vá cho 55 lỗ hổng trong Microsoft Windows, Windows Components, Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge (dựa trên Chromium), Exchange Server, Microsoft Office, Office Components, Windows Hyper-V, Windows Defender và Visual Studio. Trong đó, có 6 lỗ hổng nghiêm trọng và 49 lỗ hổng quan trọng.

Đáng chú ý, lỗ hổng đang bị tấn công CVE-2021-42292 có thể vượt qua tính năng bảo mật của trên Microsoft Excel thông qua việc người dùng truy cập một tệp tin độc hại.

Cùng với đó, một lỗ hổng khác cũng đang bị tấn công định danh  CVE-2021-42321 trong Microsoft Exchange Server cho phép kẻ tấn công thực thi mã từ xa. Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Microsoft Exchange Server luôn là một mục tiêu ưu thích của các nhóm tấn công mạng vì vậy các đơn vị cần có kế hoạch cập nhập sớm các hệ thống bị ảnh hưởng.

Bản vá lần này cũng vá một lỗ hổng khác đang bị tấn công có định danh CVE-2021-26443 trong Microsoft Virtual Machine Bus (VMBus) cho phép kẻ tấn công thực thi mã từ xa.

Trong bản vá lần này, có 4 lỗ hổng được biết đến công khai. Hai lỗ hổng định danh CVE-2021-38631 và CVE-2021-41371 trong Microsoft Remote Desktop Protocol (RDP) ảnh hưởng từ Windows 7 đến Windows 11 và trên Windows Server 2008-2019, cho phép đối tượng tấn công có thể thu thập thông tin mật khẩu RDP của hệ thống dễ bị tấn công. Hai lỗ hổng bảo mật CVE-2021-43208, CVE-2021-43209 trong 3D Viewer cho phép đối tượng tấn công thực thi mã từ xa.

Adobe

Hai lỗ hổng nghiêm trọng khi khai thác thành công có thể khiến kẻ tấn công thực thi mã tuỳ ý. Đáng chú ý lỗ hổng nghiêm trọng định danh CVE-2021-42727 trong RoboHelp Server tồn tại do lỗi xác thực đầu vào trong quá trình duyệt thư mục, cho phép kẻ tấn công có thể gửi một yêu cầu HTTP được thiết kế có chủ đích, từ đó tuỳ ý đọc các tệp trên hệ thống.

May mắn, không có lỗ hổng nào bị công khai hoặc tấn công trước thời điểm phát hành bản vá.

SAP

Cũng trong tháng 11, SAP đã phát hành bản vá cho 7 lỗ hổng bảo mật. Trong đó, có 1 lỗ hổng nghiêm trọng, 2 lỗ hổng quan trọng và 4 lỗ hổng trung bình.

Lỗ hổng nghiêm trọng duy nhất có định danh CVE-2021-40501 có điểm CVSS: 9.6. Lỗ hổng tồn tại trong nhân SAP ABAP Platform phiên bản: 7.77, 7.81, 7.85, 7.86 do không kiểm tra những quyền đã cấp, dẫn đến vượt quyền đọc và sửa đổi dữ liệu.

banner
icon

Cổng dịch vụ công
Quốc Gia

Những thông tin thủ tục hành chính
khai báo online tại đây

Xem chi tiết icon
icon

Chính sách
pháp luật Việt Nam

Cập nhật thông tin, chính sách
pháp luật Việt Nam

Xem chi tiết icon

Cổng thông tin điện tử của các đơn vị thuộc Bộ

Doanh nghiệp

Top