Cập nhật ngay bản vá bảo mật quan trọng của Microsoft, Adobe và các hãng phần mềm lớn

www.tuoitre.vn -   11/03/2022 08:00:00 1399

Bản cập nhật Bản vá của Microsoft cho tháng 3 đã chính thức có sẵn với 71 bản sửa lỗi trải dài trên các sản phẩm phần mềm của hãng như Windows, Office, Exchange và Defender, trong số những sản phẩm khác.

Cập nhật ngay bản vá bảo mật quan trọng của Microsoft, Adobe và các hãng phần mềm lớn

Trong tổng số 71 bản vá, có 3 bản được đánh giá là Nghiêm trọng và 68 bản được đánh giá là Quan trọng ở mức độ nghiêm trọng. Mặc dù không có lỗ hổng nào được liệt kê là bị khai thác tích cực, ba trong số chúng đã được công khai tại thời điểm phát hành.

Điều đáng chú ý là Microsoft đã giải quyết riêng 21 lỗi trong trình duyệt Microsoft Edge dựa trên Chromium vào đầu tháng này.

Tất cả ba lỗ hổng nghiêm trọng được khắc phục trong tháng này đều là lỗi thực thi mã từ xa ảnh hưởng HEVC Video Extensions (CVE-2022-22006), Microsoft Exchange Server (CVE-2022-23277), và VP9 Video Extensions (CVE-2022-24501).

Lỗ hổng trên Microsoft Exchange Server đã được báo cáo bởi nhà nghiên cứu Markus Wulftange, cũng đáng chú ý là nó yêu cầu kẻ tấn công phải được xác thực để có thể khai thác máy chủ.

Nhà sản xuất Windows cho biết: “Kẻ tấn công vì lỗ hổng này có thể nhắm mục tiêu các tài khoản máy chủ trong một quá trình thực thi mã tùy ý hoặc từ xa”. "Là một người dùng đã được xác thực, kẻ tấn công có thể cố gắng kích hoạt mã độc hại trong ngữ cảnh tài khoản của máy chủ thông qua một cuộc gọi mạng."

"Lỗ hổng nghiêm trọng CVE-2022-23277 cũng nên là một mối quan tâm", Kevin Breen, giám đốc nghiên cứu mối đe dọa mạng tại Immersive Labs, cho biết. "Trong khi yêu cầu xác thực, lỗ hổng này ảnh hưởng đến các máy chủ Exchange tại chỗ có thể được sử dụng trong quá trình di chuyển ngang vào một phần của môi trường tạo cơ hội cho việc xâm nhập email doanh nghiệp hoặc đánh cắp dữ liệu từ email."

Ba lỗi zero-day được Microsoft sửa như sau:

CVE-2022-24512 (điểm CVSS: 6,3) - Lỗ hổng thực thi mã từ xa .NET và Visual Studio

CVE-2022-21990 (Điểm CVSS: 8,8) - Lỗ hổng thực thi mã từ xa máy khách từ xa

CVE-2022-24459 (điểm CVSS: 7,8) - Dịch vụ quét và fax Windows Nâng cao lỗ hổng đặc quyền

Microsoft cũng gắn nhãn CVE-2022-21990 là "Khả năng khai thác nhiều hơn" vì tính khả dụng công khai của khai thác bằng chứng khái niệm (PoC), điều quan trọng là các bản cập nhật phải được áp dụng càng sớm càng tốt để tránh các cuộc tấn công tiềm ẩn.

Các khiếm khuyết quan trọng khác là một số lỗi thực thi mã từ xa trong Windows SMBv3 Client/Server, Microsoft Office và Paint 3D, cũng như các lỗi báo cáo đặc quyền trong Xbox Live Auth Manager, Microsoft Defender cho IoT và Azure Site Recovery.

Tổng cộng, các bản vá đã đóng lại 29 lỗ hổng thực thi mã từ xa, 25 lỗ hổng nâng cấp đặc quyền, sáu lỗ hổng tiết lộ thông tin, bốn lỗ hổng từ chối dịch vụ, ba lỗ hổng bỏ qua tính năng bảo mật, ba lỗ hổng giả mạo và một lỗ hổng giả mạo.

Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được phát hành bởi các nhà cung cấp khác để khắc phục một số lỗ hổng, gồm : Adobe, AMD, Android, Cisco, Citrix, HP, Intel, Juniper Networks, Linux phân phối Oracle Linux, Red Hat, và SUSE, Mozilla Firefox và Firefox ESR, SAP, Schneider Electric, và Siemens.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 96
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 88
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 370
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...

Hơn 15.000 Bộ định tuyến Four-Faith bị k...

26/12/2024 08:00:00 37
Theo những phát hiện mới từ Chuyên gia bảo mật, một lỗ hổng nghiêm trọng ảnh hưởng đến một số bộ địn...

Bạn nghĩ sao nếu người dùng ảo là chatbo...

26/12/2024 12:00:00 32
Các chatbot AI đã trở nên rất giống con người trong vòng một năm qua, nghe có vẻ khó chấp nhận nhưng...

Các cuộc tấn công mạng “bẻ khóa” thông t...

25/12/2024 08:00:00 208
Công ty an ninh mạng toàn cầu Kaspersky cho biết đã ngăn chặn hơn 23 triệu cuộc tấn công bruteforce ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button