Microsoft phát hành bản cập nhật để vá các lỗi nghiêm trọng trong Windows và phần mềm khác
Microsoft đã triển khai các bản sửa lỗi cho hệ điều hành Windows và các thành phần phần mềm khác để khắc phục các thiếu sót bảo mật lớn như một phần của bản cập nhật Bản vá Thứ Ba cho tháng 6 năm 2023.
Trong số 73 lỗi, 6 lỗi được xếp hạng Nghiêm trọng, 63 lỗi được xếp hạng Quan trọng, 2 lỗi được xếp hạng Trung bình và 1 lỗi được xếp hạng Mức độ nghiêm trọng thấp. Điều này cũng bao gồm ba vấn đề mà gã khổng lồ công nghệ đã giải quyết trong trình duyệt Edge dựa trên Chromium của mình.
Điều đáng chú ý là Microsoft cũng đã loại bỏ 26 lỗ hổng khác trong Edge – tất cả chúng đều bắt nguồn từ chính Chromium – kể từ khi phát hành bản cập nhật May Patch Tuesday. Điều này bao gồm CVE-2023-3079, một lỗi zero-day mà Google tiết lộ là đang bị khai thác tích cực vào tuần trước.
Các bản cập nhật tháng 6 năm 2023 cũng đánh dấu lần đầu tiên sau vài tháng không có bất kỳ lỗ hổng zero-day nào trong các sản phẩm của Microsoft đã được biết đến công khai hoặc đang bị tấn công tích cực tại thời điểm phát hành.
Đứng đầu danh sách các bản sửa lỗi là CVE-2023-29357 (điểm CVSS: 9,8), một lỗ hổng leo thang đặc quyền trong SharePoint Server mà kẻ tấn công có thể khai thác để giành được đặc quyền của quản trị viên.
Microsoft cho biết: “Kẻ tấn công có quyền truy cập vào mã thông báo xác thực JWT giả mạo có thể sử dụng chúng để thực hiện một cuộc tấn công mạng bỏ qua xác thực và cho phép chúng có quyền truy cập vào các đặc quyền của người dùng đã xác thực”. "Kẻ tấn công không cần đặc quyền cũng như người dùng không cần thực hiện bất kỳ hành động nào."
Redmond cũng đã vá ba lỗi thực thi mã từ xa nghiêm trọng (CVE-2023-29363, CVE-2023-32014 và CVE-2023-32015, điểm CVSS: 9,8) trong Windows Pragmatic General Multicast (PGM) có thể được vũ khí hóa thành " đạt được thực thi mã từ xa và cố gắng kích hoạt mã độc."
Microsoft trước đây đã giải quyết một lỗ hổng tương tự trong cùng một thành phần (CVE-2023-28250, điểm CVSS: 9,8), một giao thức được thiết kế để phân phối các gói giữa nhiều thành viên mạng một cách đáng tin cậy, vào tháng 4 năm 2023.
Gã khổng lồ công nghệ cũng đã giải quyết hai lỗi thực thi mã từ xa ảnh hưởng đến Exchange Server (CVE-2023-28310 và CVE-2023-32031) có thể cho phép kẻ tấn công được xác thực thực thi mã từ xa trên các cài đặt bị ảnh hưởng.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...
Cuộc tấn công Microsoft 365 mới có thể p...
Người dùng chưa đủ 18 tuổi sẽ không được...
Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...
Kỹ thuật hack này có thể cách ly may tín...
Tính năng Email được bảo vệ mới của Gmai...
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Chương trình Khuyến mãi “Vòng quay may mắn” 2024
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Top 8 phần mềm chatbot AI miễn phí phổ biến hiện n...