Bỏ việc bạn đang làm và cập nhật iOS,

[ad_1]

Cài Win online

Tháng 11 chứng kiến phát hành các bản vá từ iOS của Apple, Google Chrome, Firefox và Microsoft Windows để khắc phục nhiều lỗ hổng bảo mật. Một số vấn đề này khá nghiêm trọng và một số vấn đề đã bị kẻ tấn công khai thác.

Đây là những gì bạn cần biết về tất cả các bản cập nhật quan trọng được phát hành trong tháng qua.

Apple iOS và iPadOS 16.1.1

Apple đã phát hành iOS và iPadOS 16.1.1, nhà sản xuất iPhone khuyến nghị tất cả người dùng áp dụng. Bản vá sửa hai lỗ hổng bảo mật—và với tốc độ phát hành, bạn có thể cho rằng chúng khá nghiêm trọng.

Theo trang hỗ trợ của Apple, có tên là CVE-2022-40303 và CVE-2022-40304, hai lỗ hổng trong thư viện phần mềm libxml2 có thể cho phép kẻ tấn công thực thi mã từ xa. Cả hai vấn đề đều được báo cáo bởi các nhà nghiên cứu bảo mật làm việc cho Project Zero của Google.

Đối với người dùng Mac, các lỗ hổng đã được giải quyết bằng macOS Ventura 13.0.1.

Tin tốt là, người ta tin rằng không có lỗ hổng nào bị kẻ tấn công khai thác, nhưng bạn vẫn nên áp dụng bản cập nhật càng sớm càng tốt.

Microsoft Windows

Bản vá tháng 11 của Microsoft vào Thứ Ba là một bản phát hành lớn khác, chứng kiến ​​nhà sản xuất Windows khắc phục 68 lỗ hổng, bốn trong số đó là lỗ hổng 0 ngày.

Được theo dõi là CVE-2022-41073, lỗ hổng đầu tiên là lỗ hổng nâng cao đặc quyền của bộ đệm máy in Windows có thể cho phép tội phạm mạng giành được các đặc quyền hệ thống. Trong khi đó, CVE-2022-41125 là sự cố cô lập khóa Windows Cryptographic Next Generation có thể cho phép kẻ thù leo thang đặc quyền và giành quyền kiểm soát hệ thống. CVE-2022-41128 là lỗ hổng ngôn ngữ kịch bản Windows có thể dẫn đến thực thi mã từ xa. Cuối cùng, CVE-2022-41091 là một lỗ hổng trong tính năng bảo mật Mark of the Web của Microsoft.

GoogleAndroid

Nhiều bản cập nhật lớn hơn dành cho người dùng thiết bị Android của Google đã đến vào tháng 11, với việc Google phát hành các bản vá cho nhiều lỗ hổng, một số lỗ hổng nghiêm trọng. Đứng đầu danh sách là một lỗ hổng có mức độ nghiêm trọng cao trong thành phần Framework có thể dẫn đến leo thang đặc quyền cục bộ, Google cho biết trong một tư vấn bảo mật.

Các bản vá trong tháng 11 bao gồm hai bản cập nhật hệ thống Google Play cho các sự cố ảnh hưởng đến các thành phần Media Framework (CVE-2022-2209) và WiFi (CVE-2022-20463). Google cũng đã khắc phục 5 sự cố ảnh hưởng đến các thiết bị Pixel của mình.

Các bản cập nhật Android đã bắt đầu được tung ra cho các thiết bị Samsung, bao gồm cả Galaxy Fold thế hệ thứ ba và thứ tư. Bạn có thể kiểm tra bản cập nhật trong Cài đặt của mình.

Google Chrome

Trình duyệt phổ biến nhất thế giới tiếp tục là mục tiêu chính của những kẻ tấn công, với việc Google trong tháng này đã sửa lỗ hổng zero-day thứ tám trong năm nay.

Lỗ hổng, được theo dõi là CVE-2022-4135, là lỗi tràn bộ đệm heap trong GPU được báo cáo bởi Clement Lecigne, một nhà nghiên cứu trong nhóm phân tích mối đe dọa của chính Google. Google cho biết họ “biết rằng có một khai thác cho CVE-2022-4135 tồn tại trong tự nhiên.”

Đầu tháng, Google đã phát hành bản cập nhật để sửa 10 lỗ hổng Chrome, sáu trong số đó được đánh giá là nghiêm trọng. Chúng bao gồm bốn lỗi sử dụng sau khi miễn phí: CVE-2022-3885, CVE-2022-3886, CVE-2022-3887 và CVE-2022-3888. Trong khi đó, CVE-2022-3889 là sự cố “nhầm lẫn loại” trong V8 và CVE-2022-3890 là sự cố tràn bộ đệm heap trong Crashpad.

Mozilla Firefox

Tháng 11 cũng là một tháng quan trọng đối với đối thủ cạnh tranh của Google Chrome là Firefox. Mozilla đã phát hành Firefox 107, sửa 19 lỗ hổng bảo mật, 8 trong số đó được đánh dấu là có tác động lớn.

Một trong những bản vá quan trọng nhất là dành cho CVE-2022-45404, một tính năng bỏ qua thông báo toàn màn hình có thể cho phép kẻ tấn công khiến cửa sổ chuyển sang chế độ toàn màn hình mà người dùng không nhìn thấy lời nhắc thông báo. Điều này có thể dẫn đến các cuộc tấn công giả mạo. Trong khi đó, một số lỗi sử dụng sau khi miễn phí có thể dẫn đến sự cố có thể khai thác được và một lỗ hổng có thể bị khai thác để chạy mã tùy ý.

VMware

Nhà sản xuất phần mềm VMWare đã phát hành các bản sửa lỗi bảo mật cho nhiều lỗ hổng bảo mật trong VMware Workspace ONE Assist của mình, ba trong số đó có điểm số cơ bản CVSSv3 là 9,8. Đầu tiên, CVE-2022-31685, là lỗ hổng bỏ qua xác thực. “Một tác nhân độc hại có quyền truy cập mạng vào Workspace ONE Assist có thể có quyền truy cập quản trị mà không cần xác thực ứng dụng,” VMWare cảnh báo trong một lời khuyên.

Lỗ hổng phương thức xác thực bị hỏng được theo dõi là CVE-2022-31686 có thể cho phép tác nhân độc hại có quyền truy cập mạng lấy quyền truy cập của quản trị viên mà không cần xác thực.

cài đặt phần mềm online
[ad_2]