Bản vá Patch Tuesday tháng 7 khắc phục 142 lỗ hổng bảo mật, với 5 lỗ hổng được đánh giá là nghiêm trọng. Danh sách các lỗ hổng được khắc phục trong bản cập nhật này gồm có: 26 lỗ hổng leo thang đặc quyền; 24 lỗ hổng vượt qua các tính năng bảo mật (Bypass); 59 lỗ hổng thực thi mã từ xa (RCE); 9 lỗ hổng tiết lộ thông tin (Information Disclosure); 17 lỗ hổng từ chối dịch vụ (DoS) và 7 lỗ hổng cho phép tấn công giả mạo (Spoofing).
Đáng lưu ý, có 2 lỗ hổng zero-day đang được khai thác tích cực trong thực tế.
Thứ nhất, lỗ hổng nâng cao đặc quyền của Windows Hyper-V CVE-2024-38080. Nếu khai thác thành công, kẻ tấn công sẽ có được đặc quyền hệ thống. Mặc dù, Microsoft tuyên bố rằng lỗ hổng này đang bị khai thác, nhưng hãng không chia sẻ thông tin chi tiết về lỗ hổng, bao gồm cả việc ai là người phát hiện ra nó.
Thứ hai, lỗ hổng Spoofing trên nền tảng MSHTML CVE-2024-38112. Để khai thác thành công lỗ hổng, kẻ tấn công phải gửi cho nạn nhân một tệp tin độc hại để họ thực thi, từ đó quá trình lây nhiễm sẽ được diễn ra. Hiện nay, Microsoft không chia sẻ thêm bất kỳ thông tin chi tiết nào về cách khai thác lỗ hổng này. Lỗ hổng CVE-2024-38112 đã được nhà nghiên cứu bảo mật Haifei Li tiết lộ với hãng bảo mật Check Point.
Bên cạnh đó, 2 lỗ hổng zero-day tiết lộ công khai là CVE-2024-35264 (Lỗ hổng RCE .NET và Visual Studio) và CVE-2024-37985 (Lỗ hổng tấn công kênh kề).
Hãng công nghệ Microsoft đã sửa lỗi RCE .NET và Visual Studio được tiết lộ công khai. Kẻ tấn công có thể khai thác CVE-2024-35264 bằng cách đóng luồng (stream) http/3 trong khi nội dung yêu cầu đang được xử lý, dẫn đến tình trạng race condition (một tình huống xảy ra khi nhiều thread cùng truy cập và cùng lúc muốn thay đổi dữ liệu). Điều này có thể dẫn đến thực thi RCE. Lỗ hổng này được phát hiện nội bộ bởi nhà nghiên cứu Radek Zikmund.
Đối với lỗ hổng tiết lộ thông tin CVE-2024-37985, Microsoft đã khắc phục lỗi tấn công kênh kề “FetchBench” được tiết lộ trước đó có thể được khai thác để đánh cắp các thông tin bí mật. Kẻ tấn công có thể xem bộ nhớ heap từ một tiến trình đặc quyền đang chạy trên máy chủ.
Quý độc giả quan tâm, truy cập tại đây để xem danh sách đầy đủ các lỗ hổng đã được giải quyết trong bản cập nhật Patch Tuesday tháng 7. Bên cạnh đó, quý độc giả có thể xem mô tả đầy đủ về từng loại lỗ hổng và hệ thống bị ảnh hưởng tại đây.
Hướng dẫn cập nhật bản vá tự động trên Windows
Bước 1: Kích chuột vào biểu tượng Windows cửa sổ hiện ra chọn vào Settings.
Bước 2: Cửa sổ hiện ra kích chọn Update& Security.
Bước 3: Cửa sổ hiện ra kích chọn Windows Update, tiếp theo chọn Check for updates.
Sau khi hoàn thành, tiến hành khởi động lại máy. Người dùng quan tâm hướng dẫn chi tiết cập nhật lỗ hổng có thể theo dõi quy trình cập nhật bản vá trên máy trạm tại đây.
Ngọc Nguyên (Tổng hợp)
13:00 | 31/10/2024
10:00 | 28/06/2024
16:00 | 12/06/2024
08:00 | 17/07/2024
16:00 | 30/05/2024
16:00 | 22/01/2025
Ngày 21/01, Đại học Y Dược Tp. Hồ Chí Minh và Hiệp hội Blockchain Việt Nam (VBA) chính thức ký Biên bản Ghi nhớ hợp tác về việc ứng dụng, triển khai công nghệ Blockchain và trí tuệ nhân tạo (AI) trong đào tạo, nghiên cứu khoa học, nhằm nâng cao chất lượng hoạt động giáo dục đào tạo.
14:00 | 06/12/2024
Khi mùa nghỉ lễ đến gần, người mua sắm trên toàn thế giới háo hức mong đợi các ưu đãi hấp dẫn trong những ngày đặc biệt như Black Friday, Cyber Monday, Giáng sinh và nhiều ngày lễ khác kéo dài trong những tháng cuối năm. Tuy nhiên, những hoạt động thương mại trực tuyến này đang thu hút sự chú ý của tội phạm mạng.
13:00 | 02/12/2024
Làn sóng đầu tư vào trí tuệ nhân tạo chưa có dấu hiệu hạ nhiệt. Mới đây nhất, tập đoàn Softbank đã tiếp tục rót vốn thêm 1,5 tỷ USD vào OpenAI - nhà phát triển ứng dụng ChatGPT.
09:00 | 14/11/2024
Những rắc rối của Apple với Liên minh châu Âu (EU) vẫn chưa kết thúc và "gã khổng lồ" công nghệ này có thể sẽ phải chịu khoản tiền phạt lớn lên tới 38 tỷ USD do vi phạm Đạo luật Thị trường Kỹ thuật số (DMA).
Tại CES 2025, Nvidia đã ra mắt máy tính để bàn Project DIGITS, sử dụng chip AI Blackwell mới nhất của Nvidia và có giá bán là 3.000 USD. Máy tính này trang bị một CPU mới, được phát triển nhờ sự hợp tác giữa Nvidia và MediaTek.
10:00 | 06/02/2025