Bản vá lần này đã khắc phục 07 lỗ hổng nghiêm trọng, bao gồm các lỗi thực thi mã từ xa và leo thang đặc quyền.
Số lượng lỗ hổng theo từng loại lỗ hổng được liệt kê dưới đây:
- 30 lỗ hổng leo thang đặc quyền
- 04 lỗ hổng cho phép bỏ qua tính năng bảo mật
- 23 lỗ hổng thực thi mã từ xa
- 11 lỗ hổng gây tiết lộ thông tin
- 08 lỗ hổng từ chối dịch vụ
- 03 lỗ hổng cho phép tấn công giả mạo (spoofing).
Bản vá Patch Tuesday tháng này đã khắc phục bốn lỗ hổng zero-day đang bị khai thác, bao gồm:
CVE-2024-38014 - Lỗ hổng leo thang đặc quyền của Windows Installer.
Lỗ hổng này cho phép kẻ tấn công giành được quyền SYSTEM trên các hệ thống Windows. Microsoft chưa chia sẻ bất kỳ thông tin chi tiết nào về cách lỗ hổng này bị khai thác trong các cuộc tấn công. Lỗ hổng này được phát hiện bởi Michael Baer thuộc SEC Consult Vulnerability Lab.
CVE-2024-38217 - Lỗ hổng cho phép bỏ qua tính năng bảo mật Windows Mark of the Web.
Lỗ hổng này được Joe Desimone của Elastic Security tiết lộ công khai vào tháng trước và được cho là đã bị khai thác trong thực tế từ năm 2018. "Kẻ tấn công có thể tạo ra một tệp độc hại có thể vượt qua các biện pháp phòng thủ Mark of the Web (MOTW), dẫn đến mất tính toàn vẹn và tính khả dụng của các tính năng bảo mật như kiểm tra bảo mật SmartScreen Application Reputation và/hoặc lời nhắc bảo mật Windows Attachment Services cũ", khuyến cáo của Microsoft giải thích.
CVE-2024-38226 - Lỗ hổng cho phép bỏ qua tính năng bảo mật trong Microsoft Publisher.
Microsoft đã khắc phục một lỗ hổng trong Microsoft Publisher cho phép bỏ qua các biện pháp bảo vệ ngăn chặn việc thực thi các macro có trong tài liệu được tải xuống. "Kẻ tấn công khai thác thành công lỗ hổng này có thể vượt qua các chính sách macro của Office được sử dụng để chặn các tệp không đáng tin cậy hoặc độc hại", tư vấn bảo mật của Microsoft cho biết.
CVE-2024-43491 - Lỗ hổng thực thi mã từ xa trong Microsoft Windows Update
Microsoft đã xác định được một lỗ hổng trong Servicing Stack khiến các bản vá cho một số lỗ hổng bị hoàn nguyên (rolled back), ảnh hưởng đến Optional Components trên Windows 10, phiên bản 1507 (phiên bản đầu tiên phát hành vào tháng 7/2015). Điều này khiến bất kỳ CVE nào đã được giải quyết trước đó xuất hiện trở lại, sau đó có thể bị khai thác. Điều này cũng có nghĩa là kẻ tấn công có thể khai thác các lỗ hổng đã được giảm thiểu trước đó trên các hệ thống Windows 10, phiên bản 1507 (Windows 10 Enterprise 2015 LTSB và Windows 10 IoT Enterprise 2015 LTSB) đã cài đặt bản cập nhật bảo mật Windows được phát hành vào ngày 12/3/2024-KB5035858 (OS Build 10240.20526) hoặc các bản cập nhật khác được phát hành cho đến tháng 8/2024.
Tất cả các phiên bản Windows 10 sau này đều không bị ảnh hưởng bởi lỗ hổng này. Lỗ hổng này đã được giải quyết bằng cách cài đặt bản cập nhật Servicing Stack tháng 9/2024 (SSU KB5043936) và bản cập nhật bảo mật Windows tháng 9/2024 (KB5043083) theo thứ tự này. Lỗ hổng này khiến các thành phần tùy chọn như Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, LPD Print Service, IIS và Windows Media Player hoàn nguyên phiên bản RTM gốc.
Người dùng nên kiểm tra và nhanh chóng cập nhật bản vá bảo mật cho các sản phẩm đang sử dụng hoặc tuân theo khuyến nghị bảo mật do nhà cung cấp phát hành để giảm thiểu các nguy cơ bị tấn công.
ĐT
10:00 | 02/10/2024
13:00 | 13/09/2024
10:00 | 28/08/2024
07:00 | 27/09/2024
09:00 | 15/08/2024
10:00 | 23/07/2024
Chỉ sau một thời gian ngắn triển khai, ứng dụng Công dân Thủ đô số (iHanoi) đã nhanh chóng ghi nhận những thành tích ấn tượng, khẳng định là công cụ kết nối hữu hiệu giữa người dân và chính quyền Hà Nội. Người dân đánh giá cao iHanoi nhờ tính tiện dụng và hiệu quả xử lý.
09:00 | 19/07/2024
Bộ Thông tin và Truyền thông (TT&TT) đã ban hành văn bản công bố danh sách các nền tảng số quốc gia do các Bộ, ngành triển khai trên toàn quốc để phục vụ công tác khai thác, tránh trùng lặp. Trong đó có nền tảng số quốc gia Hệ thống chứng thực chữ ký số chuyên dùng công vụ của Ban Cơ yếu Chính phủ - Bộ Quốc phòng đang triển khai thực hiện Quản lý thuê bao và yêu cầu chứng thực; Phục vụ kiểm tra trạng thái chứng thư chữ ký số trực tuyến; Cấp dấu thời gian phục vụ ký số, xác thực; Hạ tầng phục vụ ký số trên thiết bị di động (SIM-PKI); Hạ tầng phục vụ ký số tập trung.
15:00 | 03/06/2024
Nhà cung cấp dịch vụ doanh nghiệp nổi tiếng Zoom đã công bố triển khai mã hóa đầu cuối hậu lượng tử, nhằm nâng cấp bảo mật cho các cuộc họp trên nền tảng Zoom, với sự hỗ trợ cho Zoom Phone và Zoom Rooms trong tương lai.
13:00 | 27/05/2024
Plugin Yoast SEO của WordPress được sử dụng rộng rãi với hơn 5 triệu lượt cài đặt, vừa bị phát hiện tồn tại hổng Stored Cross-Site Scripting (XSS).
Trong cuộc gặp với Tổng Bí thư, Chủ tịch nước Tô Lâm tại New York vào ngày 25/9, Tim Hughes, Phó Chủ tịch cấp cao của SpaceX, tập đoàn hàng đầu thế giới cung cấp dịch vụ tàu vũ trụ, phóng vệ tinh và truyền thông vệ tinh đã đánh giá cao tiềm năng phát triển dịch vụ Internet vệ tinh tại Việt Nam và cho biết dự định đầu tư 1,5 tỷ USD vào Việt Nam trong thời gian tới.
10:00 | 01/10/2024