Microsoft tung ra bản vá cho hai lỗ hổng Zero-Days của Windows và 126 lỗ hổng bảo mật khác

22-4-2022 General Security News Security Daily 172

Các bản cập nhật định kỳ vào thứ ba của Microsoft trong tháng 4 đã giải quyết tổng cộng 128 lỗ hổng bảo mật trên các sản phẩm phần mềm của hãng bao gồm: Windows, Defender, Office, Exchange Server, Visual Studio,Print Spooler và nhiều sản phẩm khác.



10 trong số 128 lỗi đã sửa được xếp hạng Nghiêm trọng, 115 lỗi được xếp hạng Quan trọng và 3 lỗi được xếp hạng Trung bình về mức độ nghiêm trọng. Một lỗi đã được công khai và một lỗi khác đang bị tích cực khai thác tại thời điểm tung ra bản vá.



Các bản cập nhật này bổ sung cho ngoài 26 lỗ hổng khác đã được Microsoft giải quyết trong trình duyệt Edge dựa trên Chromium kể từ đầu tháng.



Lỗ hổng được khai thác ( CVE-2022-24521 , điểm CVSS: 7,8) liên quan đến lỗ hổng nâng cao đặc quyền (privilege vulnerability) trong Hệ thống tệp nhật ký chung của Windows (CLFS). Các chuyên gia Adam Podlosky và Amir Bazine của Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) và CrowdStrike đã báo cáo lỗ hổng này.



Lỗ hổng zero-day thứ hai được biết đến rộng rãi ( CVE-2022-26904 , điểm CVSS: 7.0) cũng liên quan đến trường hợp lỗ hổng nâng cao đặc quyền trong Dịch vụ hồ sơ người dùng Windows. Khai thác thành công lỗ hổng này “yêu cầu kẻ tấn công giành chiến thắng trong một điều kiện tranh đua”.



Các lỗi nghiêm trọng khác cần lưu ý bao gồm một số lỗi thực thi mã từ xa trong RPC Runtime Library ( CVE-2022-26809 , điểm CVSS: 9,8), Hệ thống tệp mạng Windows ( CVE-2022-24491 và CVE-2022-24497 , điểm CVSS: 9.8), Dịch vụ Windows Server ( CVE-2022-24541 ), Windows SMB ( CVE-2022-24500 ) và Microsoft Dynamics 365 ( CVE-2022-23259 ).



Microsoft cũng đã vá tới 18 lỗ hổng trong Windows DNS Server, một lỗ hổng làm rò rỉ thông tin và 17 lỗ hổng thực thi mã từ xa, tất cả đều được chuyên gia bảo mật Yuki Chen báo cáo. Ngoài ra họ cũng đã khắc phụ 15 lỗi đặc quyền trong thành phần của Windows Print Spooler.



Các bản vá lỗi được tung ra một tuần sau khi gã khổng lồ công nghệ công bố kế hoạch cung cấp một tính năng gọi là AutoPatch vào tháng 7 năm 2022, cho phép các doanh nghiệp tiến hành áp dụng các bản sửa lỗi bảo mật kịp thời đồng thời tập trung vào khả năng mở rộng và tính ổn định.



Bản vá phần mềm từ các nhà cung cấp khác



Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được phát hành bởi các nhà cung cấp khác để khắc phục một số lỗ hổng bao gồm:




Adobe
Android
Apache Struts 2
Cisco Systems
Citrix
Dell
Google Chrome
HP Teradici PCoIP Client
Juniper Networks
Bản phân phối Linux bao gồm Oracle Linux, Red Hat và SUSE
Mozilla Firefox, Firefox ESR và Thunderbird
SAP
Schneider Electric
Siemens
VMware

Theo Thehackernews
The post Microsoft tung ra bản vá cho hai lỗ hổng Zero-Days của Windows và 126 lỗ hổng bảo mật khác appeared first on SecurityDaily .
Read The Rest

Related News

All Rights Reserved VTC Security News
Infomation Security Team