Các bản vá lỗi tháng Hai lần lượt đã được Microsoft và các hãng lớn cập nhật

Thứ ba vừa qua, Microsoft đã tung ra các bản cập nhật bảo mật hàng tháng nhắm tới việc vá lỗi cho 51 lỗ hổng trong dòng phần mềm của mình bao gồm Windows, Office, Teams, Azure Data Explorer, Visual Studio Code và các thành phần khác như Kernel và Win32k.

Trong số 51 lỗi đã được vá, có 50 lỗi được đánh giá ở mức nghiêm trọng và một lỗi được đánh giá là trung bình về mức độ nghiêm trọng. Đây là một trong những bản cập nhật Patch Tuesday hiếm hoi không sửa lỗi nào nghiêm trọng. Bản cập nhật này được tung ra sau khi Microsoft đã giải quyết 19 lỗ hổng khác trong trình duyệt Edge dựa trên Chromium của mình.

Không có lỗ hổng bảo mật nào được liệt kê ở trên là đang bị khai thác, trong khi đó lỗ hổng CVE-2022-21989 (điểm CVSS: 7,8) đã được phân loại là lỗ hổng zero-day tại thời điểm được công bố. Vấn đề này liên quan đến một lỗi leo thang đặc quyền (privilege escalation bug ) trong Windows Kernel và Microsoft cũng cảnh báo về các cuộc tấn công tiềm ẩn để khai thác lỗ hổng này.

Trong khuyến cáo của mình, Microsoft cho biết: “Việc khai thác thành công lỗ hổng này đòi hỏi kẻ tấn công phải thực hiện thêm các hành động bổ sung trước khi khai thác để chuẩn bị môi trường cho mục tiêu. Một cuộc tấn công thành công có thể được thực hiện từ một AppContainer có đặc quyền thấp, hacker có thể nâng cao các đặc quyền của chúng và thực thi mã hoặc truy cập tài nguyên ở cấp độ cao hơn so với môi trường thực thi của AppContainer”.

Một số lỗ hổng thực thi mã từ xa cũng đã được giải quyết ảnh hưởng đến Windows DNS Server (CVE-2022-21984, điểm CVSS: 8,8), SharePoint Server (CVE-2022-22005, điểm CVSS: 8,8), Windows Hyper-V (CVE-2022 -21995, điểm CVSS: 5,3) và HEVC Video Extensions (CVE-2022-21844, CVE-2022-21926 và CVE-2022-21927, điểm CVSS: 7,8).

Bản cập nhật bảo mật cũng đã khắc phục lỗ hổng giả mạo Azure Data Explorer (CVE-2022-23256, điểm CVSS: 8,1), hai lỗ hổng bảo mật ảnh hưởng đến Outlook cho Mac (CVE-2022-23280, điểm CVSS: 5,3), OneDrive cho Android ( CVE-2022-23255, điểm CVSS: 5,9) và hai lỗ hổng từ chối dịch vụ (DoS) trong .NET (CVE-2022-21986, điểm CVSS: 7,5) và Teams (CVE-2022-21965, điểm CVSS: 7,5).

Microsoft cho biết họ cũng đã khắc phục nhiều lỗi nâng cao đặc quyền bao bốn lỗi trong dịch vụ Print Spooler và một lỗi trong Win32k driver (CVE-2022-21996, điểm CVSS: 7,8). Trong đó lỗi thứ 2 được gắn nhãn “Có khả năng bị khai thác nhiều hơn” giống với một lỗ hổng tương tự từng bị khai thác đã được vá vào tháng trước (CVE-2022-21882).

Các bản cập nhật được tung ra sau khi gã khổng lồ công nghệ vào cuối tháng trước đã tiết lộ lại một lỗ hổng có từ năm 2013, một lỗ hổng về xác thực chữ ký ảnh hưởng đến WinVerifyTrust (CVE-2013-3900). Đáng lưu ý rằng bản vá “có sẵn dưới dạng tính năng tự chọn thông qua cài đặt khóa regítry và có sẵn trên các phiên bản Windows được hỗ trợ được phát hành kể từ ngày 10/12 năm 2013”.

Động thái này có thể đã được thúc đẩy nhằm đáp trả lại chiến dịch malware ZLoader đang diễn ra được phát hiện bởi Check Point Research vào đầu tháng 1. Chiến dịch này đã bị phát hiện lợi dụng lỗ hổng để vượt qua cơ chế xác minh chữ ký tệp file và phát tán mã độc có khả năng đánh cắp thông tin đăng nhập của người dùng và các thông tin nhạy cảm khác .

Bản vá của các nhà cung cấp khác

Bên cạnh Microsoft, các nhà cung cấp khác cũng đã tung ra các bản cập nhật bảo mật nhằm khắc phục các lỗ hổng bao gồm:

Adobe

Android

Cisco

Citrix

Google Chrome

Intel

Các bản phân phối của Linux bao gồm Oracle Linux, Red Hat và SUSE

Mozilla Firefox và Firefox ESR

SAP

Schneider Electric

Siemens

Theo Thehackernews