Microsoft phát hành bản vá cho hai lỗ hổng Zero-Day mới được khai thác

www.tuoitre.vn -   19/09/2023 08:00:00 225

Microsoft đã phát hành các bản sửa lỗi phần mềm để khắc phục 59 lỗi trong danh mục sản phẩm của mình, bao gồm hai lỗ hổng zero-day đã bị các tác nhân mạng độc hại tích cực khai thác.

Microsoft phát hành bản vá cho hai lỗ hổng Zero-Day mới được khai thác

Trong số 59 lỗ hổng, 5 lỗ hổng được xếp hạng Nghiêm trọng, 55 lỗ hổng được xếp hạng Quan trọng và một lỗ hổng được xếp hạng ở mức độ nghiêm trọng Trung bình. Bản cập nhật này cùng với 35 lỗ hổng được vá trong trình duyệt Edge dựa trên Crom kể từ phiên bản Patch Tuesday tháng trước, cũng bao gồm bản sửa lỗi cho CVE-2023-4863, một lỗ hổng tràn bộ đệm heap nghiêm trọng ở định dạng hình ảnh WebP.

Hai lỗ hổng của Microsoft đang bị khai thác tích cực trong các cuộc tấn công trong thế giới thực được liệt kê bên dưới -

CVE-2023-36761 (điểm CVSS: 6.2) - Lỗ hổng tiết lộ thông tin của Microsoft Word

CVE-2023-36802 (điểm CVSS: 7.8) - Độ cao của lỗ hổng đặc quyền proxy của Microsoft Streaming Service Proxy

“Việc khai thác lỗ hổng này có thể cho phép tiết lộ các giá trị băm NTLM”, nhà sản xuất Windows cho biết trong một lời khuyên về CVE-2023-36761, cho biết CVE-2023-36802 có thể bị kẻ tấn công lạm dụng để giành được các đặc quyền của hệ thống.

Hiện chưa rõ chi tiết chính xác xung quanh bản chất của việc khai thác hoặc danh tính của các tác nhân đe dọa đằng sau các cuộc tấn công.

Satnam Narang, kỹ sư nghiên cứu nhân viên cấp cao tại Tenable, cho biết: “Việc khai thác [CVE-2023-36761] không chỉ giới hạn ở mục tiêu tiềm năng mở tài liệu Word độc hại, vì chỉ cần xem trước tệp cũng có thể kích hoạt hoạt động khai thác”. Việc khai thác sẽ cho phép tiết lộ các hàm băm của Trình quản lý mạng LAN công nghệ mới (NTLM).

“Lỗi đầu tiên là CVE-2023-23397, một lỗ hổng nâng cao đặc quyền trong Microsoft Outlook, đã được tiết lộ trong bản phát hành Patch Tuesday tháng 3.”

Các lỗ hổng đáng chú ý khác là một số lỗi thực thi mã từ xa ảnh hưởng đến Chia sẻ kết nối Internet (ICS), Visual Studio, 3D Builder, Azure DevOps Server, Windows MSHTML và Microsoft Exchange Server cũng như các vấn đề nâng cao đặc quyền trong Windows Kernel, Windows GDI, Windows Common Log Trình điều khiển hệ thống tệp và Office, cùng nhiều thứ khác.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 439
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 856
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 796
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 71
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 635
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...

Copilot sẽ thành công nếu Microsoft thuy...

27/06/2024 12:00:00 67
Microsoft muốn biến Copilot trở thành Generative AI tiêu chuẩn để hỗ trợ khách hàng nhưng người dùng...
Xem thêm

LIÊN HỆ

Thông tin liên hệ