Cập nhật ngay Windows đầu năm 2024 vá 48 lỗ hổng bảo mật nghiêm trọng

www.tuoitre.vn -   10/01/2024 08:00:00 178

Trong bản cập nhật đầu tiên của năm 2024, Microsoft đã vá tổng 48 lỗ hổng bảo mật trên hệ điều hành Windows, trong đó có 2 lỗi được xếp hạng Nghiêm trọng và 46 lỗi được xếp hạng Quan trọng về mức độ nghiêm trọng.

Cập nhật ngay Windows đầu năm 2024 vá 48 lỗ hổng bảo mật nghiêm trọng

Các bản sửa lỗi này cùng với chín lỗ hổng bảo mật đã được giải quyết trong trình duyệt Edge dựa trên Chrome kể từ khi phát hành bản cập nhật Patch Tuesday tháng 12 năm 2023. Điều này cũng bao gồm bản sửa lỗi zero-day (CVE-2023-7024, điểm CVSS: 8,8) mà Google cho biết đã bị khai thác tích cực ngoài tự nhiên.

Các lỗ hổng nghiêm trọng nhất được vá trong tháng Giêng 2024 như sau –

CVE-2024-20674 (điểm CVSS: 9.0) - Lỗ hổng bỏ qua tính năng bảo mật Windows Kerberos

CVE-2024-20700 (điểm CVSS: 7.5) - Lỗ hổng thực thi mã từ xa Windows Hyper-V

Microsoft cho biết trong lời khuyên cho CVE-2024-20674: “Tính năng xác thực có thể bị bỏ qua vì lỗ hổng này cho phép mạo danh”.

Kẻ tấn công có thể khai thác lỗ hổng bảo mật này bằng cách thiết lập các cuộc tấn công gián tiếp (MitM) hoặc qua kỹ thuật giả mạo mạng cục bộ khác, gửi tin nhắn Kerberos độc hại đến máy nạn nhân để giả mạo chính nó là máy chủ Kerberos.

Tuy nhiên, Microsoft nhấn mạnh rằng việc khai thác thành công đòi hỏi kẻ tấn công có quyền truy cập vào mạng bị hạn chế trước tiên.

Trong khi đó lỗ hổng CVE-2024-20700 không yêu cầu xác thực cũng như tương tác của người dùng để thực thi mã từ xa.

Một số lỗ hổng bảo mật đáng chú ý khác gồm CVE-2024-20653 (điểm CVSS: 7,8), lỗ hổng leo thang đặc quyền ảnh hưởng đến trình điều khiển Common Log File System (CLFS) và CVE-2024-0056 (điểm CVSS: 8,7), một lỗ hổng bảo mật ảnh hưởng đến System. Data.SqlClient và Microsoft.Data.SqlClient.

Đối với lỗ hổng CVE-2024-0056: Kẻ tấn công khai thác thành công lỗ hổng này có thể thực hiện cuộc tấn công máy trung gian (MitM) và có thể giải mã, đọc hoặc sửa đổi lưu lượng TLS giữa máy khách và máy chủ.

Microsoft lưu ý thêm rằng họ vô hiệu hóa khả năng chèn tệp FBX trong Word, Excel, PowerPoint và Outlook trong Windows theo mặc định do lỗ hổng bảo mật (CVE-2024-20677, điểm CVSS: 7.8) có thể dẫn đến việc thực thi mã từ xa.

Hãy cập nhật Windows Update mới nhất sớm để bảo vệ bản thân khỏi các nguy cơ bảo mật từ việc khai thác lỗ hổng bảo mật.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 81
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 74
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 175
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 158
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 42
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...

Chatbot AI nào thông minh nhất hiện nay?

28/03/2024 12:00:00 33
ChatGPT bị soán ngôi, không còn là chatbot AI thông minh nhất hiện nay.
Xem thêm

LIÊN HỆ

Thông tin liên hệ