Microsoft phát hành bản vá tháng 10/2023 cho 103 lỗi, trong đó có 2 lỗi đang bị khai thác

0
0

- Trong bản vá Patch Tuesday của tháng 10/2023, Microsoft đã khắc phục tổng cộng 103 lỗ hổng bảo mật. Trong số này, có 13 lỗ hổng được đánh giá là Nghiêm trọng và 90 lỗ hổng quan trọng. Những lỗ hổng này không liên quan đến 18 lỗ hổng bảo mật trước đây đã được vá trên trình duyệt Edge.

Có hai trong số 103 lỗ hổng được phát hiện đang bị khai thác trong các cuộc tấn công zero-day, cụ thể như sau:

CVE-2023-36562 (Điểm CVSS: 6.5): Lỗ hổng làm lộ lọt thông tin trong Microsoft WordPad.

CVE-2023-41763 (Điểm CVSS: 5.3): Lỗ hổng leo thang đặc quyền trên ứng dụng “Skype for Business” có thể dẫn tới việc lộ lọt thông tin quan trọng như địa chỉ IP, cho phép đối tượng tấn công truy cập vào mạng nội bộ.

 

Để khai thác lỗ hổng CVE-2023-36563, ban đầu, đối tượng tấn công cần đăng nhập vào hệ thống và thực thi một ứng dụng tùy chỉnh để chiếm quyền kiểm soát. Bên cạnh đó, thông qua việc khai thác lỗ hổng này, các đối tượng tấn công cũng có thể dẫn dụ người dùng mở file độc hại qua email hoặc tin nhắn.

Ngoài ra, bản vá tháng 10/2023 cũng giải quyết một loạt các lỗ hổng liên quan đến Microsoft Message Queuing (MSMQ) và giao thức Layer 2 Tunneling, có thể dẫn đến thực thi mã từ xa và từ chối dịch vụ.

Microsoft cũng đã vá một lỗ hổng leo thang đặc quyền nghiêm trọng trên Windows IIS Server (CVE-2023-36434, Điểm CVSS: 9.8) cho phép đối tượng tấn công giả mạo và đăng nhập dưới tên người dùng khác thông qua brute-force.

Microsoft đã phát hành một bản vá cho lỗ hổng CVE-2023-44487, hay còn gọi là tấn công HTTP/2 Rapid Reset, đã bị các tác nhân chưa rõ danh tính sử dụng như một lỗ hổng zero-day để thực hiện các cuộc tấn công phân tán từ chối dịch vụ (DDoS). Mặc dù cuộc tấn công DDoS này có khả năng làm ảnh hưởng đến tính khả dụng của dịch vụ, nhưng nó không dẫn đến việc lộ lột dữ liệu khách hàng.

Cuối cùng, Microsoft thông báo về việc ngừng cung cấp chức năng Visual Basic Script (VBScript), một ngôn ngữ thường bị lợi dụng để phát tán mã độc. Trong các phiên bản sau này của Windows, VBScript sẽ không còn mặc định nữa nhưng người dùng có thể cài đặt thêm.

PV


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.