Microsoft phát hành Patch Tuesday tháng 6 khắc phục 51 lỗ hổng, bao gồm 18 lỗi RCE

0
0

 - Microsoft đã phát hành Patch Tuesday tháng 6/2024 bao gồm các bản cập nhật bảo mật cho 51 lỗ hổng, bao gồm 18 lỗ hổng thực thi mã từ xa và một lỗ hổng zero-day đã được tiết lộ công khai.

Trong số 18 lỗi RCE chỉ có một lỗ hổng thực thi mã từ xa trong Microsoft Message Queuing (MSMQ) được đánh giá ở mức nghiêm trọng.

 

Số lượng lỗ hổng theo từng loại lỗ hổng được liệt kê dưới đây

- 25 lỗ hổng cho phép leo thang đặc quyền

- 18 lỗ hổng thực thi mã từ xa

- 03 lỗ hổng tiết lộ thông tin

- 05 lỗ hổng từ chối dịch vụ

Tổng số này không bao gồm 7 lỗ hổng trong trình duyệt Edge đã được Microsoft vá vào ngày 3 tháng 6.

Patch Tuesday của tháng này đã khắc phục một lỗ hổng zero-day đã được tiết lộ công khai - CVE-2023-50868, không có lỗ hổng nào bị khai thác trong thực tế. Lỗ hổng này liên quan đến cuộc tấn công 'Keytrap' đã được tiết lộ trước đó trong giao thức DNS mà Microsoft hiện đã khắc phục như một phần của bản cập nhật Patch Tuesday.

CVE-2023-50868 - MITER: lỗ hổng có thể làm cạn kiệt CPU. "CVE-2023-50868 liên quan đến một lỗ hổng trong xác thực DNSSEC, trong đó kẻ tấn công có thể khai thác các giao thức DNSSEC tiêu chuẩn bằng cách sử dụng quá nhiều tài nguyên trên trình phân giải, gây ra tình trạng từ chối dịch vụ đối với người dùng hợp pháp. MITER đã thay mặt Microsoft tạo CVE này, " tư vấn bảo mật của Microsoft cho biết.

Lỗ hổng này trước đó đã được tiết lộ vào tháng 2 và được vá trong nhiều bản triển khai DNS, bao gồm BIND, PowerDNS, Unbound, Knot Resolver và Dnsmasq.

Các lỗ hổng đáng chú ý khác được vá trong tháng này bao gồm nhiều lỗi thực thi mã từ xa của Microsoft Office, bao gồm các lỗi RCE trong Microsoft Outlook có thể bị khai thác ở giao diện xem trước (preview pane).

Microsoft cũng đã vá bảy bảy lỗ hổng leo thang đặc quyền trong Windows Kernel, có thể cho phép kẻ tấn công cục bộ giành được các đặc quyền SYSTEM.

Bạn có thể xem xem mô tả đầy đủ về từng lỗ hổng và hệ thống bị ảnh hưởng tại đây.

Ngoài Microsoft, nhiều nhà cung cấp khác cũng đã phát hành các bản cập nhật bảo mật trong tháng này để giải quyết các lỗ hổng ảnh hưởng đến sản phẩm của họ, bao gồm PHP, Apple, Cisco, TikTok, F5,…

Người dùng nên kiểm tra và nhanh chóng cập nhật bản vá bảo mật cho các sản phẩm đang sử dụng hoặc tuân theo khuyến nghị bảo mật do nhà cung cấp phát hành để giảm thiểu các nguy cơ bị tấn công.

PV (theo bleepingcomputer.com/tinnhiemmang.vn)


Ý kiến bạn đọc


Công nghệ 3G sẽ được dừng hoàn toàn vào tháng 9/2028

(VnMedia) - Với xu hướng trên thế giới và thực tế triển khai mạng và sự phát triển dịch vụ, tại Việt Nam cả 2 công nghệ 2G và 3G đều đã được xây dựng kế hoạch dừng. Với 2G thì thực hiện theo 2 giai đoạn 2024 và 2026 còn 3G thì tới năm 2028.

Lỗ hổng nghiêm trọng cho phép tin tặc thay đổi mật khẩu người dùng

(VnMedia) - Cisco đã khắc phục một lỗ hổng có điểm nghiêm trọng tối đa cho phép kẻ tấn công thay đổi mật khẩu của bất kỳ người dùng nào trên các máy chủ cấp phép Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) dễ bị tấn công, bao gồm cả quản trị viên.

Những hình ảnh thân thương, bình dị của Tổng Bí thư Nguyễn Phú Trọng

(VnMedia) - VnMedia xin trân trọng gửi đến quý độc giả những hình ảnh vô cùng thân thương, bình dị của Tổng Bí thư Nguyễn Phú Trọng lúc sinh thời.

VinaPhone hỗ trợ khách hàng nâng cấp điện thoại 4G miễn phí

(VnMedia) - Thực hiện chủ trương tắt sóng 2G của Bộ Thông tin và Truyền thông vào tháng 9/2024 tới đây, VinaPhone triển khai loạt ưu đãi khách hàng nâng cấp lên điện thoại 4G miễn phí và nhiều ưu đãi hấp dẫn khác để duy trì liên lạc mà không phải lo lắng về chi phí.

Giá vàng giảm sâu phiên thứ 3 liên tiếp

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (20/7), giá vàng giao ngay tại thị trường New York đã tiếp tục có thêm một đi xuống. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc 80 triệu đồng/lượng ở chiều bán ra.