Microsoft phát hành bản vá cho 74 lỗ hổng mới trong bản cập nhật tháng 8

www.tuoitre.vn -   09/08/2023 08:00:00 263

Microsoft đã vá tổng cộng 74 lỗ hổng trong phần mềm của mình như một phần của bản cập nhật Patch Tuesday của công ty vào tháng 8 năm 2023, giảm so với 132 lỗ hổng khổng lồ mà công ty đã sửa vào tháng trước.

Microsoft phát hành bản vá cho 74 lỗ hổng mới trong bản cập nhật tháng 8

Điều này bao gồm sáu lỗ hổng nghiêm trọng, 67 quan trọng và một lỗ hổng ở mức độ nghiêm trọng vừa phải. Được phát hành cùng với các cải tiến về bảo mật là hai bản cập nhật chuyên sâu về phòng thủ cho Microsoft Office (ADV230003) và Công cụ quét tính sẵn sàng của hệ thống toàn vẹn bộ nhớ (ADV230004).

Các bản cập nhật này cũng bao gồm 30 vấn đề đã được Microsoft giải quyết trong trình duyệt Edge dựa trên Chrome kể từ phiên bản Patch Tuesday tháng trước và một lỗ hổng kênh bên ảnh hưởng đến một số mẫu bộ xử lý do AMD cung cấp (CVE-2023-20569 hoặc Inception).

ADV230003 liên quan đến một lỗ hổng bảo mật đã biết có tên là CVE-2023-36884, một lỗ hổng thực thi mã từ xa trong Office và Windows HTML đã bị kẻ đe dọa RomCom liên kết với Nga khai thác tích cực trong các cuộc tấn công nhắm vào Ukraine cũng như các mục tiêu thân Ukraine ở Đông Âu và Bắc Mỹ.

Microsoft cho biết việc cài đặt bản cập nhật mới nhất sẽ "ngăn chặn chuỗi tấn công" dẫn đến lỗi thực thi mã từ xa.

Bản cập nhật bảo vệ chuyên sâu khác dành cho công cụ quét Tính sẵn sàng của Hệ thống Tính toàn vẹn của Bộ nhớ, được sử dụng để kiểm tra các vấn đề tương thích với tính toàn vẹn của bộ nhớ (còn gọi là tính toàn vẹn mã được bảo vệ bởi bộ ảo hóa hoặc HVCI), xử lý một lỗi được biết đến công khai trong đó "bản gốc phiên bản đã được xuất bản mà không có phần RSRC chứa thông tin tài nguyên cho mô-đun."

Cũng được gã khổng lồ công nghệ vá nhiều lỗi thực thi mã từ xa trong Microsoft Message Queuing (MSMQ) và Microsoft Teams cũng như một số lỗ hổng giả mạo trong Azure Apache Ambari, Azure Apache Hadoop, Azure Apache Hive, Azure Apache Oozie, Azure DevOps Server , Azure HDInsight Jupyter và .NET Framework.

Ngoài ra, Redmond đã giải quyết sáu lỗ hổng từ chối dịch vụ (DoS) và hai lỗ hổng tiết lộ thông tin trong MSMQ, đồng thời giải quyết một số vấn đề khác được phát hiện trong cùng một dịch vụ có thể dẫn đến việc thực thi mã từ xa và DoS.

Ba lỗ hổng khác cần lưu ý là CVE-2023-35388, CVE-2023-38182 (điểm CVSS: 8.0) và CVE-2023-38185 (điểm CVSS: 8.8) – lỗi thực thi mã từ xa trong Exchange Server – hai lỗ hổng đầu tiên trong số đó đã được gắn thẻ đánh giá "Có nhiều khả năng khai thác hơn".

Natalie Silva, kỹ sư nội dung chính tại Immersive Labs, cho biết: “Việc khai thác CVE-2023-35388 và CVE-2023-38182 có phần bị hạn chế do cần có vectơ tấn công liền kề và thông tin xác thực Exchange hợp lệ”.

"Điều này có nghĩa là kẻ tấn công cần được kết nối với mạng nội bộ của bạn và có thể xác thực là người dùng Exchange hợp lệ trước khi chúng có thể khai thác những lỗ hổng này. Bất kỳ ai đạt được điều này đều có thể thực thi mã từ xa bằng phiên từ xa PowerShell."

Microsoft thừa nhận thêm tính khả dụng của khai thác bằng chứng khái niệm (PoC) đối với lỗ hổng DoS trong .NET và Visual Studio (CVE-2023-38180, điểm CVSS: 7.5), lưu ý rằng "mã hoặc kỹ thuật này không hoạt động trong mọi tình huống và có thể yêu cầu kẻ tấn công có tay nghề phải sửa đổi đáng kể."

Cuối cùng, bản cập nhật cũng bao gồm các bản vá cho 5 lỗi leo thang đặc quyền trong Windows Kernel (CVE-2023-35359, CVE-2023-35380, CVE-2023-35382, CVE-2023-35386 và CVE-2023-38154, điểm CVSS : 7.8) có thể được vũ khí hóa bởi kẻ đe dọa có quyền truy cập cục bộ vào máy mục tiêu để giành được các đặc quyền hệ thống.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 176
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 145
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 148
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 126
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 130
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 78
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

LIÊN HỆ

Thông tin liên hệ