Microsoft phát hành bản vá tháng 10 năm 2023 cho 103 lỗ hổng trong đó gồm 2 lỗ hổng khai thác đang hoạt động

www.tuoitre.vn -   06/10/2023 08:00:00 1423

Microsoft đã phát hành bản cập nhật Patch Tuesday vào tháng 10 năm 2023, giải quyết tổng cộng 103 lỗi trong phần mềm của mình, hai trong số đó đã bị khai thác tích cực.

Microsoft phát hành bản vá tháng 10 năm 2023 cho 103 lỗ hổng trong đó gồm 2 lỗ hổng khai thác đang hoạt động

Trong số 103 lỗ hổng, có 13 lỗi được đánh giá là Nghiêm trọng và 90 lỗi được đánh giá là Quan trọng ở mức độ nghiêm trọng. Điều này nằm ngoài 18 lỗ hổng bảo mật đã được xử lý trong trình duyệt Edge dựa trên Chrome kể từ thứ Ba thứ hai của tháng 9.

Hai lỗ hổng đã được vũ khí hóa thành zero-day như sau -

CVE-2023-36563 (điểm CVSS: 6.5) - Lỗ hổng tiết lộ thông tin trong Microsoft WordPad có thể dẫn đến rò rỉ băm NTLM

CVE-2023-41763 (điểm CVSS: 5.3) - Lỗ hổng leo thang đặc quyền trong Skype for Business có thể dẫn đến việc lộ thông tin nhạy cảm như địa chỉ IP hoặc số cổng (hoặc cả hai), cho phép các tác nhân đe dọa có quyền truy cập vào mạng nội bộ

Microsoft cho biết trong lời khuyên cho CVE-2023: “Để khai thác lỗ hổng này, trước tiên kẻ tấn công phải đăng nhập vào hệ thống. Kẻ tấn công sau đó có thể chạy một ứng dụng được chế tạo đặc biệt có thể khai thác lỗ hổng và kiểm soát hệ thống bị ảnh hưởng”. -36563.

"Ngoài ra, kẻ tấn công có thể thuyết phục người dùng cục bộ mở một tệp độc hại. Kẻ tấn công sẽ phải thuyết phục người dùng nhấp vào một liên kết, thường bằng cách dụ dỗ trong email hoặc tin nhắn tức thời, sau đó thuyết phục họ mở tệp đặc biệt." tập tin được tạo."

Redmond cũng đã sửa hàng chục lỗi ảnh hưởng đến Hàng đợi Tin nhắn của Microsoft (MSMQ) và Giao thức Đường hầm Lớp 2 có thể dẫn đến việc thực thi mã từ xa và từ chối dịch vụ (DoS).

Bản cập nhật bảo mật tiếp tục giải quyết lỗi leo thang đặc quyền nghiêm trọng trong Windows IIS Server (CVE-2023-36434, điểm CVSS: 9,8) có thể cho phép kẻ tấn công mạo danh và đăng nhập với tư cách người dùng khác thông qua một cuộc tấn công vũ phu.

Gã khổng lồ công nghệ cũng đã phát hành bản cập nhật cho CVE-2023-44487, còn được gọi là cuộc tấn công Thiết lập lại nhanh HTTP/2, đã bị các tác nhân không xác định khai thác như một lỗ hổng zero-day để thực hiện tấn công từ chối dịch vụ phân tán với quy mô siêu lớn. (DDoS) tấn công.

“Mặc dù DDoS này có khả năng ảnh hưởng đến tính khả dụng của dịch vụ, nhưng nó không dẫn đến việc xâm phạm dữ liệu khách hàng và tại thời điểm này, chúng tôi không thấy bằng chứng nào về việc dữ liệu khách hàng bị xâm phạm”, nó cho biết.

Cuối cùng, Microsoft đã thông báo rằng Visual Basic Script (còn gọi là VBScript), thường bị khai thác để phát tán phần mềm độc hại, sẽ không được dùng nữa, đồng thời bổ sung thêm, "trong các bản phát hành Windows trong tương lai, VBScript sẽ có sẵn dưới dạng một tính năng theo yêu cầu trước khi bị loại bỏ khỏi hệ điều hành. hệ thống."

Hãy tiến hành vá lỗi bằng cách cập nhật hệ điều hành càng sớm càng tốt nhé!

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 130
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 112
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 380
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...

Hơn 15.000 Bộ định tuyến Four-Faith bị k...

26/12/2024 08:00:00 42
Theo những phát hiện mới từ Chuyên gia bảo mật, một lỗ hổng nghiêm trọng ảnh hưởng đến một số bộ địn...

Bạn nghĩ sao nếu người dùng ảo là chatbo...

26/12/2024 12:00:00 36
Các chatbot AI đã trở nên rất giống con người trong vòng một năm qua, nghe có vẻ khó chấp nhận nhưng...

Các cuộc tấn công mạng “bẻ khóa” thông t...

25/12/2024 08:00:00 216
Công ty an ninh mạng toàn cầu Kaspersky cho biết đã ngăn chặn hơn 23 triệu cuộc tấn công bruteforce ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button