Apple và Google vá hàng loạt lỗ hổng, người dùng nên cập nhật ngay

[Hanna]

Apple và Google vừa phát hành bản cập nhật khẩn cấp để vá hàng loạt lỗ hổng bảo mật, đồng thời khuyến cáo người dùng nên cập nhật ngay lập tức.
Tháng 10-2023 là một tháng bận rộn đối với Apple khi công ty liên tục phải phát hành các bản cập nhật iOS 17.1 để khắc phục lỗi mất kết nối WiFi, hao pin… cũng như vá các lỗ hổng bảo mật nghiêm trọng trong kernel (CVE-2023-42849) và WebKit (CVE-2023-40447, CVE-2023-41976 và CVE-2023-42852).

Bên cạnh đó, Apple cũng phát hành iOS 16.7.2 và iPadOS 16.7.2 để sửa các lỗi tương tự trên những thiết bị đời cũ, hoặc những người không muốn nâng cấp hệ điều hành

Để cập nhật iPhone, iPad, bạn hãy truy cập vào Settings (cài đặt) - General (cài đặt chung) - Software update (cập nhật phần mềm) - Download and Install (tải về và cài đặt). Lưu ý, dung lượng bản cập nhật có thể thay đổi tùy vào thiết bị bạn đang sử dụng.

Google
Google đã phát hành 20 bản sửa lỗi bảo mật cho trình duyệt Chrome, bao gồm một bản vá cho một lỗ hổng được đánh giá là nghiêm trọng (CVE-2023-5218).

Không có lỗi nào được sửa trong tháng 10 đã được khai thác, nhưng với mức độ phổ biến của trình duyệt Chrome, người dùng nên cập nhật càng sớm càng tốt.Để thực hiện, bạn hãy vào thanh địa chỉ dòng lệnh chrome://settings/help, chờ một lát để quá trình tải về bản cập nhật hoàn tất, sau đó nhấn Relaunch để khởi động lại.

Người dùng các trình duyệt dựa trên mã nguồn mở Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng có sẵn.

Bên cạnh đó, Google cũng vừa phát hành bản cập nhật tháng 10 cho các thiết bị Android để khắc phục 53 lỗ hổng, trong đó có hai lỗ hổng bị khai thác trong tự nhiên.

Đầu tiên là CVE-2023-4863, một lỗi tràn bộ đệm heap trong libwebp ảnh hưởng đến các ứng dụng sử dụng thư viện để mã hóa và giải mã hình ảnh ở định dạng WebP. Lỗ hổng này ảnh hưởng đến nhiều ứng dụng và có thể được sử dụng để cài đặt phần mềm gián điệp, công ty bảo mật Malwarebytes cho biết.

Một lỗ hổng đáng sợ khác là CVE-2023-40129, cho phép kẻ gian thực thi mã từ xa mà không cần đặc quyền bổ sung, Google cho biết.

Bản cập nhật tháng 10 hiện đã có sẵn cho người dùng điện thoại Pixel của Google và Samsung. Do đó, nếu đang sử dụng các thiết bị Android, người dùng nên cập nhật càng sớm càng tốt.

Microsoft
Vừa qua, Microsoft đã phát hành bản cập nhật để sửa hơn 100 lỗi, bao gồm hai lỗ hổng zero-day trong WordPad (CVE-2023-36563) và Skype for Business (CVE-2023-41763).

CVE-2023-36563 là một lỗi tiết lộ thông tin trong chương trình xử lý văn bản WordPad có thể làm lộ các hàm băm NTLM, dẫn đến các cuộc tấn công chuyển tiếp NTLM. Tuy nhiên, kiểu tấn công này đòi hỏi kẻ gian phải gửi cho nạn nhân một tệp độc hại và thuyết phục họ mở nó.

Trong khi đó CVE-2023-41763 là lỗ hổng nâng cao đặc quyền trong ứng dụng Skype dành cho doanh nghiệp, có khả năng khiến người dùng bị lộ địa chỉ IP hoặc port number. Do đó, Microsoft khuyến cáo người dùng Windows nên cập nhật bản vá càng sớm càng tốt thông qua Windows Update.Ngoài ra còn có nhiều bản sửa lỗi dành cho doanh nghiệp vừa được Cisco, VMWare và Citrix phát hành trong tháng 10.