73 lỗ hổng bảo mật Windows được Microsoft vá lỗi, trong đó có 2 lỗ hổng Zero-Days

www.tuoitre.vn -   08/02/2024 08:00:00 1019

Microsoft đã phát hành các bản vá bảo mật để giải quyết 73 lỗi bảo mật trên dòng phần mềm của mình như một phần của bản cập nhật Patch Tuesday cho tháng 2 năm 2024, bao gồm cả hai lỗ hổng zero-day đang bị khai thác tích cực.

73 lỗ hổng bảo mật Windows được Microsoft vá lỗi, trong đó có 2 lỗ hổng Zero-Days

Trong số 73 lỗ hổng, 5 lỗ hổng được xếp hạng Nghiêm trọng, 65 lỗ hổng được xếp hạng Quan trọng và 3 lỗ hổng được xếp hạng ở mức độ nghiêm trọng Trung bình. Điều này cùng với 24 lỗi đã được sửa trong trình duyệt Edge dựa trên Chrome kể từ khi phát hành bản cập nhật Patch Tuesday tháng 1 năm 2024.

Dưới đây là hai lỗ hổng được liệt kê là đang bị tấn công tích cực tại thời điểm phát hành -

CVE-2024-21351 (điểm CVSS: 7.6) - Lỗ hổng vượt qua tính năng bảo mật Windows SmartScreen

CVE-2024-21412 (điểm CVSS: 8.1) - Tính năng bảo mật của tệp lối tắt trên Internet Bỏ qua lỗ hổng bảo mật

Microsoft cho biết về CVE-2024-21351: “Lỗ hổng này cho phép kẻ độc hại tiêm mã vào SmartScreen và có khả năng thực thi mã, điều này có thể dẫn đến một số dữ liệu bị lộ, thiếu tính khả dụng của hệ thống hoặc cả hai”.

Khai thác thành công lỗ hổng có thể cho phép kẻ tấn công phá vỡ các biện pháp bảo vệ của SmartScreen và chạy mã tùy ý. Tuy nhiên, để cuộc tấn công có hiệu quả, kẻ đe dọa phải gửi cho người dùng một tệp độc hại và thuyết phục người dùng mở nó.

CVE-2024-21412, theo cách tương tự, cho phép kẻ tấn công không được xác thực bỏ qua các kiểm tra bảo mật được hiển thị bằng cách gửi một tệp được tạo đặc biệt cho người dùng mục tiêu.

Tuy nhiên, kẻ tấn công sẽ không có cách nào buộc người dùng xem nội dung do kẻ tấn công kiểm soát. Thay vào đó, kẻ tấn công sẽ phải thuyết phục họ hành động bằng cách nhấp vào liên kết tệp.”

CVE-2024-21351 là lỗi vượt qua thứ hai được phát hiện trong SmartScreen sau CVE-2023-36025 (điểm CVSS: 8,8), được gã khổng lồ công nghệ phát hiện vào tháng 11 năm 2023. Lỗ hổng này đã bị nhiều nhóm hack khai thác để sinh sôi nảy nở DarkGate, Phemedrone Stealer và Mispadu.

Năm lỗ hổng nghiêm trọng cũng được Microsoft vá lỗi là -

CVE-2024-20684 (điểm CVSS: 6.5) - Lỗ hổng từ chối dịch vụ Hyper-V của Windows

CVE-2024-21357 (điểm CVSS: 7.5) - Lỗ hổng thực thi mã từ xa Windows Pragmatic General Multicast (PGM)

CVE-2024-21380 (điểm CVSS: 8.0) - Lỗ hổng tiết lộ thông tin của Microsoft Dynamics Business Central/NAV

CVE-2024-21410 (điểm CVSS: 9,8) - Độ cao của lỗ hổng đặc quyền trên Microsoft Exchange Server

CVE-2024-21413 (điểm CVSS: 9,8) - Lỗ hổng thực thi mã từ xa của Microsoft Outlook

Bản cập nhật bảo mật tiếp tục giải quyết 15 lỗi thực thi mã từ xa trong nhà cung cấp Microsoft WDAC OLE DB dành cho SQL Server mà kẻ tấn công có thể khai thác bằng cách lừa người dùng được xác thực cố gắng kết nối với máy chủ SQL độc hại thông qua OLEDB.

Việc hoàn thiện bản vá là bản sửa lỗi cho CVE-2023-50387 (điểm CVSS: 7,5), một lỗi thiết kế đã tồn tại 24 năm trong đặc tả DNSSEC có thể bị lạm dụng để làm cạn kiệt tài nguyên CPU và làm đình trệ các trình phân giải DNS, dẫn đến việc từ chối- dịch vụ (DoS).

Người dùng hãy nhanh chóng cập nhật phiên bản mới nhất để bảo vệ máy tính và hệ thống.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Nguy cơ mất tiền từ Phishing - giả mạo đ...

22/04/2024 08:00:00 15
Giả mạo để lừa đảo (Phishing) là một chiêu thức không mới nhưng hiệu quả trong việc thu hút nạn nhân...

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 491
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 91
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 485
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 478
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 57
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...
Xem thêm

LIÊN HỆ

Thông tin liên hệ