[Microsoft] “Patch Tuesday” tháng 11 vá lỗ hổng zero-day nghiêm trọng trong Internet Explorer
Microsoft mới đây đã chính thức phát hành bản cập nhật ‘Patch Tuesday’ cho tháng 11. Bản vá lần này bao gồm bản sửa lỗi cho một lỗ hổng zero-day nghiêm trọng ảnh hưởng đến Internet Explorer và 73 lỗi khác.
Lỗ hổng zero-day trong Internet Explorer
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng zero-day trong Internet Explorer đang bị các hacker khai thác tích cực.
Lỗ hổng tồn tại trong khâu xử lý các đối tượng thuộc bộ nhớ của bộ máy
script. Khi được kích hoạt, lỗ hổng sẽ cho phép kẻ tấn công thực thi các mã từ
xa tùy ý trên hệ thống đích trong bối cảnh của người dùng hiện tại. Điều này đặc
biệt nguy hiểm nếu người dùng hiện tại có quyền truy cập quản trị viên vào hệ
thống.
Giải thích về lỗ hổng nghiêm trọng mang số hiệu CVE-2019-1429, Microsoft cho biết trong kịch bản tấn công dựa trên web, các hacker có thể kiểm soát một trang web được thiết kế đặc biệt để khai thác lỗ hổng thông qua Internet Explorer và sau đó thuyết phục người dùng truy cập vào trang web.
Bên cạnh đó, kẻ tấn công cũng có thể nhúng điều khiển
ActiveX được đánh dấu là “an toàn để khởi tạo” (safe for initialization)
trong một ứng dụng hoặc một tài liệu Microsoft Office bất kỳ có lưu trữ công cụ
kết xuất IE. Ngoài ra, kẻ tấn công cũng có thể lợi dụng các trang web đã bị xâm
nhập hoặc các trang web quản lý nội dung của người dùng để triển khai các hoạt động
khai thác lỗ hổng.
Điều đáng lo ngại là trước khi Microsoft phát hành bản vá chính thức cho lỗ hổng này thì các hacker đã triển khai các hoạt động khai thác trên diện rộng.
>> Lỗ hổng bảo mật và bài toán của doanh nghiệp
Các bản vá bảo mật cho các lỗ hổng khác
Ngoài lỗ hổng zero-day được đề cập ở trên, Microsoft cũng cung cấp bản sửa lỗi cho 12 lỗ hổng bảo mật “nghiêm trọng” khác trong bản ‘Patch Tuesday’ tháng này. Tất cả những lỗ hổng này đều có thể cho phép các hacker khai thác để thực thi mã từ xa.
Microsoft cũng cung cấp bản vá cho 61 lỗ hổng được xếp hạng “quan trọng”. Nếu bị khai thác, những lỗ hổng này có thể dẫn đến các cuộc tấn công lừa đảo, từ chối dịch vụ, tiết lộ thông tin, leo thang đặc quyền, bypass tính năng bảo mật và thực thi mã từ xa.
Nhìn chung, với bản cập nhật mới này, Microsoft đã vá tổng cộng 74 lỗi khác nhau ảnh hưởng đến Microsoft Windows, Microsoft Edge, Internet Explorer, Microsoft Office và Microsoft Office Services và Web Apps, Microsoft Exchange Server, ChakraCore, Visual Studio, Open Source Software và Azure Stack.
LHN
The post [Microsoft] “Patch Tuesday” tháng 11 vá lỗ hổng zero-day nghiêm trọng trong Internet Explorer appeared first on SecurityDaily .
Related News
Top News
-
![]()
Google công bố cập nhật bảo mật sử dụng AI cho 3 tỷ người dùng GmailSự kiện Cloud Next 2024 của Google tuy đã kết thúc, nhưng nhiều tin tức quan trọng vẫn tiếp tục được hé lộ. Một trong số đó có thể chính là...
-
![]()
Nhiều botnet khai thác lỗ hổng cũ để tấn công router TP-LinkCó ít nhất sáu mạng botnet khác nhau đang nhắm vào các router TP-Link Archer AX21 (AX1800). Thiết bị này vốn chịu ảnh hưởng từ một lỗ hổng chèn...
-
![]()
Google Postpones Third-Party Cookie Deprecation Amid U.K. Regulatory ScrutinyGoogle has once again pushed its plans to deprecate third-party tracking cookies in its Chrome web browser as it works to address outstanding...
-
![]()
Alert! Cisco Releases Critical Security Updates to Fix 2 ASA Firewall 0-DaysCisco has released critical security updates to address multiple vulnerabilities in its Adaptive Security Appliance (ASA) devices and Firepower...
-
![]()
Phần mềm độc hại CoralRaider khai thác bộ nhớ cache CDN để đánh cắp thông tinMột chiến dịch phần mềm độc hại mới đang diễn ra đã được quan sát thấy phân phối ba kẻ đánh cắp khác nhau, chẳng hạn như...
-
![]()
BatBadBut: Lỗ hổng khiến bạn không thể thực thi lệnh một cách an toàn trên WindowsGiới thiệu Gần đây, RyotaK ( @ryotkak ) đã báo cáo chùm lỗ hổng ở một số ngôn ngữ lập trình cho phép kẻ tấn công khai thác lỗi Command Injection...