Microsoft phát hành bản vá lỗ hổng bảo mật tháng 9/2023

07:00 | 18/09/2023 | TIN TỨC SẢN PHẨM

Trung tuần tháng 9, Microsoft đã phát hành bản vá cho 59 lỗ hổng, trong đó 05 lỗ hổng zero-day được xếp hạng nghiêm trọng và đã bị khai thác trong các cuộc tấn công.

Microsoft phát hành bản vá lỗ hổng bảo mật tháng 9/2023

59 lỗ hổng được vá

Cụ thể, có 59 lỗ hổng đã được vá trong bản cập nhật lần này, trong khi 24 lỗi thực thi mã từ xa (Remote Code Execution - RCE) đã được sửa, Microsoft chỉ phân loại 05 lỗi là nghiêm trọng - trong đó 04 lỗi thực thi mã từ xa và lỗ hổng nâng cao đặc quyền của Dịch vụ Azure Kubernetes.

Số lượng lỗi trong từng loại lỗ hổng được liệt kê bao gồm: 03 lỗ hổng vượt qua các giải pháp bảo mật; 24 lỗ hổng thực thi mã từ xa; 09 lỗ hổng tiết lộ thông tin; 03 lỗ hổng từ chối dịch vụ; 05 lỗ hổng tấn công giả mạo (Spoofing); 05 lỗ hổng của Chrome.

Tổng số 59 lỗ hổng được vá không bao gồm 05 lỗ hổng Microsoft Edge (Chromium), 02 lỗ hổng không phải của Microsoft trong Electron và Autodesk.

Hai lỗ hổng zero-day được khai thác tích cực

Theo Microsoft, bản vá cập nhật tháng này sửa hai lỗ hổng zero-day, cả hai đều bị khai thác trong các cuộc tấn công và một trong số chúng được tiết lộ công khai. Microsoft phân loại lỗ hổng là lỗ hổng zero-day nếu nó được tiết lộ công khai hoặc bị khai thác tích cực mà không có bản sửa lỗi chính thức.

Hai lỗ hổng zero-day được khai thác tích cực trong bản cập nhật này là:

- CVE-2023-36802: lỗ hổng bảo mật cho phép thực hiện tấn công nâng cao đặc quyền qua proxy dịch vụ phát trực tuyến của Microsoft. Hãng công nghệ này đã vá một lỗ hổng nâng cao đặc quyền cục bộ được khai thác tích cực, cho phép kẻ tấn công giành được đặc quyền hệ thống.

- CVE-2023-36761: lỗ hổng tiết lộ thông tin của Microsoft Word

Microsoft đã sửa một lỗ hổng bị khai thác tích cực có thể được sử dụng để lấy cắp mã băm NTLM khi mở tài liệu, kể cả trong khung xem trước. Các mã băm NTLM này có thể bị bẻ khóa hoặc sử dụng trong các cuộc tấn công NTLM Relay để giành quyền truy cập vào tài khoản.

Bích Thủy

‹ › ×

Tin liên quan

Mỹ gia tăng quản lý lỗ hổng bảo mật

07:00 | 23/10/2023

Trong cam kết nâng cao khả năng quản lý lỗ hổng bảo mật, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) của Mỹ đã công bố việc tích hợp tiêu chuẩn Khung tư vấn bảo mật chung OASIS (Common Security Advisory Framework- CSAF) Phiên bản 2.0 vào các Hướng dẫn bảo mật, được điều chỉnh cho Hệ thống kiểm soát công nghiệp (ICS), Công nghệ vận hành (OT) và Thiết bị y tế.

Rò rỉ 38 triệu bản ghi thông tin cá nhân từ nền tảng ứng dụng Microsoft Power

07:00 | 01/09/2021

Hơn 38 triệu bản ghi từ 47 đơn vị khác nhau dựa trên nền tảng cổng ứng dụng Power Apps của Microsoft đã vô tình bị lộ lọt trực tuyến. Điều này cho thấy một xu hướng tiếp xúc dữ liệu mới đáng lo ngại.

Bing Chat của Microsoft có thể bị lạm dụng để phát tán mã độc hại

08:00 | 24/10/2023

Chatbot trí tuệ nhân tạo (AI) của Microsoft (Bing Chat) đang bị lạm dụng để phát tán mã độc thông qua các quảng cáo độc hại khi tìm kiếm các công cụ phổ biến.

Microsoft bị rò rỉ dữ liệu làm lộ thông tin khách hàng

13:00 | 26/10/2022

Theo Microsoft, một số thông tin nhạy cảm của khách hàng đã bị lộ lọt do một máy chủ Microsoft bị cấu hình sai. Tuy nhiên, hãng này khẳng định nguyên nhân không phải do lỗ hổng bảo mật.

Microsoft bị phạt do dàn xếp cáo buộc vi phạm quyền riêng tư trẻ em

13:00 | 21/06/2023

Tập đoàn phát triển phần mềm Microsoft sẽ phải nộp 20 triệu USD để dàn xếp các cáo buộc về thu thập trái phép thông tin cá nhân của trẻ em.

Tin cùng chuyên mục

Microsoft phát hành bản vá Patch Tuesday cho 150 lỗ hổng bảo mật

07:00 | 12/04/2024

Ngày 9/4, Microsoft phát hành bản vá Patch Tuesday để giải quyết 150 lỗ hổng bảo mật. Trong đó, có 3 lỗ hổng nghiêm trọng, 67 lỗ hổng thực thi mã từ xa, hơn một nửa số lỗ hổng RCE được phát hiện tồn tại trong các driver Microsoft SQL.

28 ứng dụng chứa mã độc nhắm đến người dùng Android

10:00 | 10/04/2024

Các chuyên gia bảo mật vừa phát hiện 28 ứng dụng có chứa mã độc đã được cài đặt trên smartphone của hàng triệu người dùng. Nếu đã cài đặt một trong các ứng dụng này, hãy lập tức gỡ bỏ khỏi thiết bị.

Phát hiện ứng dụng giả mạo nhằm đánh cắp tiền điện tử trên Apple App Store

13:00 | 05/04/2024

Các nhà phát triển ví tiền điện tử Leather cảnh báo về một ứng dụng giả mạo trên Apple App Store. Nguyên nhân bởi nhiều người dùng đã báo cáo rằng họ bị mất tiền sau khi nhập chuỗi bí mật vào ví Leather giả.

Labhost - công cụ lừa đảo nhắm vào người dùng ngân hàng Canada

08:00 | 15/03/2024

Nền tảng Lừa đảo dưới dạng dịch vụ (PhaaS) Labhost đã và đang giúp tội phạm mạng nhắm mục tiêu vào các ngân hàng Bắc Mỹ, đặc biệt là các viện tài chính ở Canada.