Microsoft phát hành bản cập nhật Tuesday tháng Giêng sửa 16 lỗi nghiêm trọng

Do ảnh hưởng của hai lỗ hổng lớn Meltdown và Spectre, tháng Giêng đã trở thành một tháng bận rộn cho Microsoft khi phải thực hiện cập nhật vá lỗi nhiều lần. Trong bản cập nhật Tuesday kỳ này, Microsoft sẽ sửa nhiều lỗi đang có trên Microsoft Edge, Windows, Office, ASP.NET và bản Office trên hệ điều hành macOS.

Trong số các lỗ hổng thì có đến 16 lỗi được xác định là lỗ hổng bảo mật nghiêm trọng, 38 lỗi được đánh giá rất quan trọng và 1 một lỗi khá quan trọng. Trong đó có khoảng 20 lỗi có liên quan đến mã thực thi từ xa.

Chris Goettl, Giám đốc sản xuất ở Ivanti cho biết “Microsoft bắt đầu phát hành bản cập nhật Tuesday có vẻ hơi sớm trong tháng này khi chỉ vừa mới cập nhật hệ điều hành vào tuần trước”. Quả thật, chỉ mới tuần trước Microsoft đã cập nhật vá 3 lỗi CVE có liên quan đến Meltdown và Spectre, hai lỗ hổng bảo mật nghiêm trọng đến từ bộ vi xử lý Intel. Những bổ sung này sẽ mang lại cho bản vá lỗi tháng Giêng của Microsoft cập nhật tổng cộng là khoảng 55 lỗ hổng CVE. Trong này có bao gồm CVE đã được công khai và 1 CVE đã phát hiện trong quá trình phát triển.

Ông Jimmy Graham, giám đốc quản lý sản phẩm tại Qualys đã chỉ ra rằng tháng này là tháng đặc biệt mà Microsoft tạm dừng việc triển khai các bản vá cho một số hệ thống AMD và các bản cập nhật khác không tương thích với các phần mềm diệt virus bên thứ ba.

Trong một bản tin bảo mật vào ngày 3/1, Microsoft cũng cho biết rằng khách hàng sẽ không nhận được bản cập nhật bảo mật tháng Giêng năm 2018 và sẽ không được bảo vệ khỏi các lỗ hổng bảo mật nếu nhà cung cấp phần mềm diệt virus của họ thiết lập các khóa đăng ký.

Graham cũng cảnh báo rằng các bản vá lỗi của hệ điều hành và BIOS vi mô được thiết kế nhằm giảm nhẹ sự cố của Meltdown và Spectre có thể có thể dẫn đến các vấn đề về hiệu năng CPU của máy.

Theo hãng thì lỗ hổng bảo mật bộ nhớ Microsoft Office (CVE-2018-0802) sẽ cho phép thực hiện mã từ xa trong Office khi phần mềm này không xử lý đúng các đối tượng trong bộ nhớ . Kẻ tấn công sẽ khai thác bằng cách thuyết phục người dùng mở một văn bản Office đặc biệt có thể kiểm soát hệ thống bị ảnh hưởng.

Trong bản cập nhật này thì Microsoft cũng vá một lỗ hổng có số hiệu CVE-2018-0786 trong .NET Framework và .NET Core để ngăn các thành phần này xác nhận hoàn toàn một chứng chỉ nào đó. Kẻ tấn công có thể trình bày một chứng chỉ được đánh dấu là không hợp lệ cho một mục đích sử dụng cụ thể, nhưng các thành phần trong đó sẽ sử dụng nó cho mục đích đó. Hành vi này sẽ làm lỗi chức năng xem xét Gắn thẻ Taggings sử dụng nâng cao.

Đây chắc hẳn là một loại lỗi mà các tác giả phần mềm độc hại đang tìm kiếm vì nó cho phép những chứng chỉ không hợp lệ của chúng trở thành hợp lệ - phân tích từ chuyên gia thống kê bản cập nhật Tuesday của Zero day Initiative.

Một trong những CVE được Microsoft tiếp tục giải quyết tháng này là CVE-2018-0819, một lỗ hổng bảo mật giả mạo  trong Microsoft Office for MAC , được liệt kê dưới dạng công khai khi được phát hành. Lỗi này khiến quá trình xử lý mã hóa và hiển thị địa chỉ email trên một số phiên bản Microsoft Office for Mac không được thực hiện đúng cách. Microsoft mô tả việc xử lý và hiển thị không đúng cách này có thể gây ra những tác vụ quét virus cũng như antispam hoạt động lỗi và không chính xác.

Vào thứ hai, Apple cũng đã phát hành phiên bản iOS 11.2.2 cho các dòng iPhone, iPad và iPod Touch để vá các lỗ hổng của Spectre. Cập nhật bổ sung macOS High Sierra 10.13.2 cũng đã được phát hành để tăng cường bảo vệ máy tính khỏi Spectre trên trình duyệt Safari và Webkit, trình duyệt được Safari, Mail và App Store sử dụng.

Theo đó, người dùng hệ điều hành Windows nên nhanh chóng cập nhật phiên bản mới nhất để vá lỗi bảo mật và bảo vệ thiết bị cũng như các dữ liệu quan trọng đang được lưu trữ trên thiết bị.

Minh Hương