Cập nhật ngay để vá lỗ hổng bảo mật nghiêm trọng Windows 'Wormable'

www.tuoitre.vn -   14/01/2022 08:00:00 422

Microsoft hôm thứ Ba đã khởi động bộ cập nhật đầu tiên cho năm 2022 bằng cách vá đến 96 lỗ hổng bảo mật trên hệ sinh thái phần mềm của mình, đồng thời kêu gọi khách hàng ưu tiên vá lỗ hổng nghiêm trọng "có thể đào sâu".

Cập nhật ngay để vá lỗ hổng bảo mật nghiêm trọng Windows 'Wormable'

Trong số 96 lỗ hổng, có đến 9 lỗ hổng được xếp hạng Nguy hiểm và 89 lỗ hổng được xếp hạng Quan trọng về mức độ nghiêm trọng, với sáu lỗ hổng zero-day được biết đến công khai tại thời điểm phát hành. Đây là bên cạnh 29 vấn đề được vá trong Microsoft Edge vào ngày 6 tháng 1 năm 2022. Không có lỗi nào được tiết lộ được liệt kê là đang bị tấn công.

Các bản vá bao gồm một loạt danh mục của gã khổng lồ điện toán, bao gồm Microsoft Windows và Windows Components, Exchange Server, Microsoft Office và Office Components, SharePoint Server, .NET Framework, Microsoft Dynamics, Open-Source Software, Windows Hyper-V, Windows Defender, và Windows Remote Desktop Protocol (RDP).

Đứng đầu trong số đó là CVE-2022-21907 (điểm CVSS: 9,8), một lỗ hổng thực thi mã từ xa bắt nguồn từ HTTP Protocol Stack. "Trong hầu hết các tình huống, kẻ tấn công không được xác thực có thể gửi một gói được chế tạo đặc biệt đến một máy chủ được nhắm mục tiêu sử dụng Ngăn xếp giao thức HTTP (http.sys) để xử lý các gói", Microsoft lưu ý trong lời khuyên của mình.

Nhà nghiên cứu bảo mật người Nga Mikhail Medvedev đã được ghi nhận là người đã phát hiện và báo cáo lỗi, với công ty có trụ sở tại Redmond nhấn mạnh rằng nó có thể sâu được, nghĩa là không cần sự tương tác của người dùng để kích hoạt và lan truyền sự lây nhiễm.

“Mặc dù Microsoft đã cung cấp một bản vá chính thức, CVE này là một lời nhắc nhở khác rằng các tính năng của phần mềm tạo cơ hội cho những kẻ tấn công sử dụng sai chức năng cho các hành vi độc hại”, Danny Kim, kiến trúc sư chính tại Virsec, cho biết.

Microsoft cũng đã giải quyết sáu lỗ hổng Zero Day như một phần của bản cập nhật Bản vá thứ ba, hai trong số đó là sự tích hợp các bản sửa lỗi của bên thứ ba liên quan đến thư viện nguồn mở curl và libarchive.

  • CVE-2021-22947 (Điểm CVSS: N / A) - Lỗ hổng thực thi mã từ xa curl nguồn mở
  • CVE-2021-36976 (Điểm CVSS: N / A) - Lỗ hổng thực thi mã từ xa libarchive nguồn mở
  • CVE-2022-21836 (điểm CVSS: 7,8) - Lỗ hổng giả mạo chứng chỉ Windows
  • CVE-2022-21839 (điểm CVSS: 6,1) - Truy tìm sự kiện Windows Lỗ hổng kiểm soát truy cập tùy ý từ chối dịch vụ
  • CVE-2022-21874 (Điểm CVSS: 7,8) - Lỗ hổng thực thi mã từ xa API của Trung tâm bảo mật Windows
  • CVE-2022-21919 (điểm CVSS: 7,0) - Dịch vụ hồ sơ người dùng Windows Nâng cao lỗ hổng đặc quyền

Một lỗ hổng nghiêm trọng khác cần lưu ý liên quan đến lỗ hổng thực thi mã từ xa (CVE-2022-21849, điểm CVSS: 9,8) trong Windows Internet Key Exchange (IKE) phiên bản 2, mà Microsoft cho biết có thể bị kẻ tấn công từ xa vũ khí hóa để "kích hoạt nhiều lỗ hổng mà không đang được xác thực. "

Bản vá cũng khắc phục một số lỗi thực thi mã từ xa ảnh hưởng đến Exchange Server, Microsoft Office (CVE-2022-21840), SharePoint Server, RDP (CVE-2022-21893) và Windows Resilient File System cũng như lỗ hổng leo thang đặc quyền trong Dịch vụ miền Active Directory, Kiểm soát tài khoản Windows, Trình quản lý dọn dẹp Windows và Windows Kerberos, trong số những thứ khác.

Cần nhấn mạnh rằng CVE-2022-21907 và 3 lỗi được phát hiện trong Exchange Server (CVE-2022-21846, CVE-2022-21855 và CVE-2022-21969, điểm CVSS: 9.0) đều được gắn nhãn là "khai thác thêm có khả năng, "yêu cầu các bản vá được áp dụng ngay lập tức để chống lại các cuộc tấn công tiềm năng trong thế giới thực nhắm vào các điểm yếu. Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã được thừa nhận vì đã gắn cờ CVE-2022-21846.

Bharat Jogi, giám đốc nghiên cứu về lỗ hổng và mối đe dọa tại Qualys, cho biết: “Bản vá thứ ba lớn này diễn ra trong thời điểm hỗn loạn trong ngành bảo mật, nơi các chuyên gia đang làm việc ngoài giờ để khắc phục Log4Shell - được cho là lỗ hổng tồi tệ nhất từng thấy trong nhiều thập kỷ”.

Bản vá phần mềm từ các nhà cung cấp khác

Bên cạnh Microsoft, các bản cập nhật bảo mật cũng đã được phát hành bởi các nhà cung cấp khác để khắc phục một số lỗ hổng :

  • Adobe
  • Android
  • Cisco
  • Citrix
  • Google Chrome
  • Juniper Networks
  • Linux distributions Oracle Linux, Red Hat, and SUSE
  • Mozilla Firefox, Firefox ESR, and Thunderbird
  • Samba
  • SAP
  • Schneider Electric
  • Siemens
  • VMware, and
  • WordPress

Hãy nhanh chóng cập nhật phiên bản mới nhất của Windows để hạn chế các nguy cơ bảo mật đến từ lỗ hổng bảo mật nhé!

Hương

TIN CÙNG CHUYÊN MỤC

Kaspersky tiết lộ các hoạt động trên thị...

30/09/2022 08:00:00 60
Theo báo cáo Digital Footprint Intelligence (DFI) từ Kaspersky, 95% quảng cáo trong khu vực khu vực ...

Bản cập nhật Windows 11 22H2 gây màn hìn...

30/09/2022 12:00:00 28
Microsoft khuyến nghị người dùng các máy tính bị ảnh hưởng không nên cập nhật Windows 11 22H2 bằng c...

Cảnh báo lỗ hỗng Zeroday trên Microsoft ...

29/09/2022 08:00:00 44
Các nhà nghiên cứu bảo mật đang cảnh báo về các lỗ hổng chưa được tiết lộ trước đây trong các máy ch...

Phát hiện mã độc đội lốt phần mềm crack ...

29/09/2022 12:00:00 26
Mã độc này cũng cố lấy cắp dữ liệu từ một loạt các ví tiền điện tử có tùy chọn cài đặt trong trình d...

Lỗi WhatsApp nghiêm trọng có thể cho phé...

28/09/2022 08:00:00 33
WhatsApp đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng trong ứng dụng nhắn tin dành ch...

Chỉ cần di chuột qua PowerPoint cũng có ...

28/09/2022 08:00:00 46
Tác nhân đe dọa do nhà nước Nga bảo trợ được gọi là APT28 đã được phát hiện sử dụng một phương pháp ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ