Microsoft phát hành bản cập nhật vá 129 lỗ hỏng bảo mật– Microsoft vừa phát hành một loạt bản cập nhật bảo mật mới để khắc phục tổng cộng 129 lỗ hổng bảo mật mới được phát hiện, ảnh hưởng đến các phiên bản khác nhau của hệ điều hành Windows và các phần mềm liên quan.
1/Tổng quan
Trong số 129 lỗi này, 23 lỗi được liệt kê ở mức độ nghiêm trọng, 105 lỗi quan trọng và một ở mức độ nghiêm trọng vừa phải.
Các sản phẩm của gã khổng lồ này bị ảnh hưởng bao gồm Microsoft Windows, trình duyệt Microsoft Edge, Internet Explorer, ChakraCore, SQL Server, Exchange Server, Office, ASP.NET, OneDrive, Azure DevOps, Visual Studio và Microsoft Dynamics.
Không có lỗ hổng bảo mật nào được liệt kê là đã được biết đến công khai hoặc đang bị tấn công tích cực tại thời điểm phát hành hoặc ít nhất là Microsoft không biết đến điều đó.
Lỗi bộ nhớ (CVE-2020-16875) trong ứng dụng Microsoft Exchange là lỗ hổng đáng lưu ý nhất trong tất cả các lỗ hổng nghiêm trọng. Khai thác lỗ hổng này có thể cho phép các hacker chạy dòng mã tùy ý ở cấp HỆ THỐNG bằng cách gửi một email được thiết kế đặc biệt tới Exchange Server tồn tại lỗ hổng.
Microsoft cũng đã có bản cập nhật vá hai lỗi thực thi mã từ xa quan trọng trong Windows Codecs Library, cả hai đều tồn tại trong cách mà Windows Codecs Library của Microsoft xử lý các đối tượng trong bộ nhớ.
Nhưng trong khi một lỗi (CVE-2020-1129) có thể bị lợi dụng để lấy thông tin nhằm xâm phạm sâu hơn vào hệ thống của người dùng thì lỗi còn lại (CVE-2020-1319) có thể được sử dụng để kiểm soát hệ thống bị ảnh hưởng.
Bên cạnh đó là hai lỗi thực thi mã từ xa ảnh hưởng đến việc triển khai Microsoft Dynamics 365, nhưng cả hai đều yêu cầu kẻ tấn công phải được xác thực.
2/Microsoft giải quyết như thế nào
Hãng Microsoft cũng đã vá sáu lỗ hổng thực thi mã từ xa quan trọng trong SharePoint và một trong SharePoint Server. Trong khi khai thác lỗ hổng trong SharePoint Server yêu cầu xác thực, các lỗ hổng trong SharePoint thì không.
Các lỗi nghiêm trọng khác nằm trong Windows, Windows Media Audio Decoder, Windows Text Service Module, Windows Camera Codec Pack, Visual Studio, Scripting Engine, Microsoft COM for Windows, Microsoft Browser và Graphics Device Interface.
Các lỗ hổng được đánh dấu là quan trọng nằm trong Windows, Active Directory, Active Directory Federation Services (ADFS), Internet Explorer Browser Helper, Jet Database Engine, ASP.NET Core, Dynamics 365, Excel, Graphics Component, Office, Office SharePoint, SharePoint Server, SharePoint , Word, OneDrive cho Windows, Scripting Engine, Visual Studio, Win32k, Windows Defender Application Control, Windows DNS, v.v.
3/Kết luận
Đa số các lỗ hổng này đều cho phép thông tin bị tiết lộ, chiếm quyền quản trị và XSS. Một số cũng dẫn đến các cuộc tấn công thực thi mã từ xa. Ngược lại, những lỗi khác cho phép vượt qua tính năng bảo mật, giả mạo và từ chối dịch vụ.
Người dùng Windows và quản trị viên hệ thống được khuyến cáo áp dụng các bản vá bảo mật mới nhất càng sớm càng tốt để ngăn chặn tội phạm mạng và tin tặc chiếm quyền kiểm soát máy tính của họ.
Để cài đặt các bản cập nhật bảo mật, mọi người vào Settings → Update & security → Windows Update → Check for updates hoặc cài đặt thủ công.
Hãy ghé thăm Pakistantimes để luôn cập nhật những kiến thức IT mới nhé!
Nguồn: whitehat.vn