Microsoft tung bản cập nhật Office vá lỗ hổng bảo mật trong Sharepoint – Microsoft đã phát hành bản vá cho các lỗ hổng thực thi mã từ xa (RCE) nguy cấp của nhiều phiên bản của SharePoint cùng với bản cập nhật an ninh tháng 12 của bộ phần mềm Office.
Hết thảy tổng cộng, tập đoàn đã phát hành 23 bản cập nhật an ninh và 5 bản cập nhật tích lũy cho 7 sản phẩm khác nhau, và đã xử lý 9 lỗ hổng có thể cho phép kẻ tấn công thực thi mã từ xa tùy ý trên các hệ thống dính lỗ hổng.
Hơn nữa, trong tháng 12, tập đoàn Microsoft cũng đã phát hành bản vá lỗi định kỳ Patch Tuesday, với tổng cộng 58 lỗ hổng, 9 trong số lỗ hỏng ấy đó được đánh giá là nghiêm trọng.
Các bản cập nhật không bảo mật cũng được phát hành cho bản cập nhật tích lũy Windows 10 phiên bản KB4592449 và KB4592438. Hãy cùng Paskistantimes tìm hiểu nhé!
1.Lỗi thực thi mã từ xa trong SharePoint là gì?
Khái niệm SharePoint – Chính là nền tảng dùng cho việc phát triển ứng dụng web, tích hợp với Microsoft Office. Nền tảng này được phát hiện tồn tại hai lỗi RCE nghiêm trọng.
Lỗi đầu tiên tên là CVE-2020-17121, lỗi này yêu cầu kẻ tấn công – hacker có đặc quyền người dùng cơ bản mới có thể khai thác.
Lỗ hổng thứ hai là CVE-2020-17118 có thể bị khai thác từ xa mà không cần xác thực. Để khai thác thành công lỗ hổng này ở mức độ thấp, những hacker lừa nạn nhân mở một file Office tự tạo độc hại. Theo Microsoft, đã có PoC – Proof of Concept (Bằng chứng về khái niệm) cho lỗ hổng này (dù chỉ được chia sẻ trong nội bộ).
Lỗi này do các kỹ sư của Microsoft phát hiện, nó đã ảnh hưởng đến Microsoft SharePoint Server 2019, Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2013 Service Pack 1 và Microsoft SharePoint Foundation 2010 Service Pack 2.
2.Những bản cập nhật được Microsoft vá lỗ hổng bảo mật sharepoint trong tháng 12/2020
Bản cập nhật dùng để xử lý các lỗi thực thi mã từ xa trên hệ thống nền tảng Windows đang chạy trên các phiên bản dựa trên Click to Run và Microsoft Installer (.msi) của các sản phẩm Microsoft Office.
Bao gồm 9 lỗi RCE được Microsoft đánh giá ở mức độ nghiêm trọng và quan trọng khi có thể cho phép kẻ tấn công thực thi mã tùy ý với quyền của người dùng hiện tại sau khi khai thác thành công.
Những kẻ tấn công sau đó có thể cài các chương trình mang mã độc, xem, sửa và xóa dữ liệu cũng như tạo các tài khoản admin giả mạo trên các thiết bị đã bị xâm nhập trái phép.
3.Cách cập nhật và tải bản vá lỗi trong Office
Những bản cập nhật Microsoft Office được phân phối thông qua nền tảng Microsoft Update và Download Center.
Chi tiết các bản cập nhật cho từng phiên bản Microsoft Office có thể xem tại link bên dưới:
https://www.bleepingcomputer.com/news/security/microsoft-office-security-updates-fix-critical-sharepoint-rce-bugs
Theo Bleeping Computer
>>>Xem thêm:
- Tổng hợp các cách test bàn phím laptop bằng phần mềm, website
- Các loại mực máy in cơ bản hiện nay phân biệt ra sao?
- Hãng Foxit vừa vá lỗ hổng bảo mật trên phần mềm PDF Reader
- Microsoft phát hành bản cập nhật vá 129 lỗ hỏng bảo mật