Microsoft phát hành bản cập nhật bảo mật cho loạt lỗ hổng nghiêm trọng

Microsoft đã chính thức phát hành bản vá cho 112 lỗ hổng bảo mật mới được phát hiện qua Bản cập nhật Patch Tuesday tháng 11. Bản cập nhật lần này gồm cả bản vá cho lỗ hổng zero-day mới được phát hiện bởi nhóm bảo mật của Google vào tuần trước.



Bản cập nhật tháng này đã giải quyết 17 lỗi bảo mật nghiêm trọng, 93 lỗi bảo mật được đánh giá là quan trọng, và 2 lỗi có mức độ nghiêm trọng thấp. Bản Patch Tuesday tháng 11 đã một lần nữa đưa số bản vá bảo mật lên hơn 110 bản, ngay sau đợt sụt giảm vào tháng trước.



Microsoft đã tung ra bản cập nhật cho một loạt phần mềm, bao gồm Microsoft Windows, Office và Office Service, Ứng dụng web, Internet Explorer, Edge, ChakraCore, Exchange Server, Microsoft Dynamics, Windows Codec Library, Azure Sphere, Windows Defender, Microsoft Teams và Visual Studio.



Đứng đầu trong số những lỗi đã được vá là lỗ hổng CVE-2020-17087 (với điểm CVSS 7,8). Đây là một lỗi tràn bộ nhớ đệm trong Windows Kernel Cryptography Driver (“cng.sys”) được nhóm Google Project Zero tiết lộ vào ngày 30 tháng 10 . Lỗ hổng này đã được tin tặc sử dụng kết hợp với Chrome zero-day để xâm nhập vào hệ thống của người dùng Windows 7 và Windows 10.



Về phần mình, Google đã phát hành bản cập nhật cho trình duyệt Chrome để giải quyết lỗ hổng zero-day (CVE-2020-15999) vào tháng trước.



Bản tư vấn bảo mật của Microsoft không hề tiết lộ bất cứ thông tin chi tiết nào về lỗ hổng, ngoài việc nói rằng nó là “một lỗ hổng leo thang đặc quyền trên Windows Kernel Local” trong các bản tư vấn tái cấu trúc bảo mật .



Bên cạnh lỗ hổng zero-day, bản cập nhật còn sửa một số lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Exchange Server ( CVE-2020-17084 ), Network File System ( CVE-2020-17051 ), Microsoft Teams ( CVE-2020- 17091 ), và một lỗ hổng vượt qua bảo mật trong phần mềm ảo hóa Windows Hyper-V ( CVE-2020-17040 ).



CVE-2020-17051 được đánh giá là một lỗ hổng đặc biệt nghiêm trọng với điểm CVSS là 9,8/10. Tuy nhiên, Microsoft cho biết lỗ hổng này có độ phức tạp trong tấn công ở mức thấp (độ phức tạp trong tấn công là các điều kiện nằm ngoài tầm kiểm soát của kẻ tấn công, nhưng cần phải có để có thể khai thác lỗ hổng). 



Cũng giống như lỗ hổng zero-day, các bản tư vấn bảo mật của những lỗ hổng này chỉ tiết lộ rất ít hoặc thậm chí không tiết lộ bất cứ thông tin nào liên quan tới phương pháp mà tin tặc sử dụng để khai thác các lỗi RCE, hay tính năng bảo mật nào đã bị vượt qua trong Hyper-V.



Một số lỗ hổng nghiêm trọng khác được Microsoft vá trong tháng này bao gồm một lỗ hổng gián đoạn bộ nhớ trong Microsoft Scripting Engine (CVE-2020-17052) và Internet Explorer (CVE-2020-17053), cùng nhiều lỗ hổng RCE trong thư viện HEVC Video Extensions Codecs.



Người dùng Windows và quản trị viên hệ thống được khuyến nghị nên nhanh chóng cài đặt các bản vá bảo mật mới nhất để khắc phục các mối đe dọa liên quan đến những lỗ hổng trên.



Để cài đặt các bản cập nhật mới nhất, người dùng có thể chọn Bắt đầu→Cài đặt → Cập nhật & Bảo mật → Cập nhật Windows hoặc chọn Kiểm tra các bản cập nhật Windows.



Theo The Hacker News
The post Microsoft phát hành bản cập nhật bảo mật cho loạt lỗ hổng nghiêm trọng appeared first on SecurityDaily .