Cập nhật ngay Windows đầu năm 2024 vá 48 lỗ hổng bảo mật nghiêm trọng

www.tuoitre.vn -   10/01/2024 08:00:00 279

Trong bản cập nhật đầu tiên của năm 2024, Microsoft đã vá tổng 48 lỗ hổng bảo mật trên hệ điều hành Windows, trong đó có 2 lỗi được xếp hạng Nghiêm trọng và 46 lỗi được xếp hạng Quan trọng về mức độ nghiêm trọng.

Cập nhật ngay Windows đầu năm 2024 vá 48 lỗ hổng bảo mật nghiêm trọng

Các bản sửa lỗi này cùng với chín lỗ hổng bảo mật đã được giải quyết trong trình duyệt Edge dựa trên Chrome kể từ khi phát hành bản cập nhật Patch Tuesday tháng 12 năm 2023. Điều này cũng bao gồm bản sửa lỗi zero-day (CVE-2023-7024, điểm CVSS: 8,8) mà Google cho biết đã bị khai thác tích cực ngoài tự nhiên.

Các lỗ hổng nghiêm trọng nhất được vá trong tháng Giêng 2024 như sau –

CVE-2024-20674 (điểm CVSS: 9.0) - Lỗ hổng bỏ qua tính năng bảo mật Windows Kerberos

CVE-2024-20700 (điểm CVSS: 7.5) - Lỗ hổng thực thi mã từ xa Windows Hyper-V

Microsoft cho biết trong lời khuyên cho CVE-2024-20674: “Tính năng xác thực có thể bị bỏ qua vì lỗ hổng này cho phép mạo danh”.

Kẻ tấn công có thể khai thác lỗ hổng bảo mật này bằng cách thiết lập các cuộc tấn công gián tiếp (MitM) hoặc qua kỹ thuật giả mạo mạng cục bộ khác, gửi tin nhắn Kerberos độc hại đến máy nạn nhân để giả mạo chính nó là máy chủ Kerberos.

Tuy nhiên, Microsoft nhấn mạnh rằng việc khai thác thành công đòi hỏi kẻ tấn công có quyền truy cập vào mạng bị hạn chế trước tiên.

Trong khi đó lỗ hổng CVE-2024-20700 không yêu cầu xác thực cũng như tương tác của người dùng để thực thi mã từ xa.

Một số lỗ hổng bảo mật đáng chú ý khác gồm CVE-2024-20653 (điểm CVSS: 7,8), lỗ hổng leo thang đặc quyền ảnh hưởng đến trình điều khiển Common Log File System (CLFS) và CVE-2024-0056 (điểm CVSS: 8,7), một lỗ hổng bảo mật ảnh hưởng đến System. Data.SqlClient và Microsoft.Data.SqlClient.

Đối với lỗ hổng CVE-2024-0056: Kẻ tấn công khai thác thành công lỗ hổng này có thể thực hiện cuộc tấn công máy trung gian (MitM) và có thể giải mã, đọc hoặc sửa đổi lưu lượng TLS giữa máy khách và máy chủ.

Microsoft lưu ý thêm rằng họ vô hiệu hóa khả năng chèn tệp FBX trong Word, Excel, PowerPoint và Outlook trong Windows theo mặc định do lỗ hổng bảo mật (CVE-2024-20677, điểm CVSS: 7.8) có thể dẫn đến việc thực thi mã từ xa.

Hãy cập nhật Windows Update mới nhất sớm để bảo vệ bản thân khỏi các nguy cơ bảo mật từ việc khai thác lỗ hổng bảo mật.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky: Botnet được rao bán với giá c...

16/07/2024 02:00:00 15
Các chuyên gia tại Kaspersky Digital Footprint đã phân tích hành vi rao bán botnet trên các trang da...

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 536
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 1.112
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 994
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 95
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 940
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...
Xem thêm

LIÊN HỆ

Thông tin liên hệ