[Microsoft] Bản cập nhật tháng 10 vá 59 lỗ hổng bảo mật


Microsoft mới đây đã tung ra bản cập nhật bảo mật “ Patch Tuesday ” cho tháng 10 năm 2019 để khắc phục tổng cộng 59 lỗ hổng trong hệ điều hành Windows và các phần mềm liên quan, bao gồm 9 lỗ hổng được đánh giá “nghiêm trọng” (critical) , 49 lỗ hổng “quan trọng” (important) và một lỗ hổng mức độ nghiêm trọng vừa phải (moderate severity) .



Đáng chú ý nhất trong bản cập nhật vá lỗi tháng này là sau một
khoảng thời gian rất dài thì cuối cùng “gã khổng lồ công nghệ” cũng có thể tự
tin thông báo rằng không có lỗ hổng nào được vá nằm trong diện đang bị biết đến
công khai hoặc bị các hacker khai thác tích cực.



Đồng thời, không có bản vá nào cho phần mềm Adobe Flash
Player nằm trong gói cập nhật tháng này của Windows.



Bên cạnh đó, Microsoft cũng đã đưa ra một thông báo như một lời nhắc nhở cho người dùng Windows 7 và Windows Server 2008 R2 về gói hỗ trợ mở rộng dành cho hai hệ điều hành này sẽ kết thúc trong vòng hai tháng tới. Kể từ ngày 14 tháng 1 năm 2020, người dùng của hai hệ điều hành sẽ không còn nhận được các bản cập nhật bảo mật hàng tháng.  



Các lỗ hổng “nghiêm trọng” đã được vá



Hai trong số các lỗ hổng nghiêm trọng được vá trong tháng này là các lỗi
thực thi mã từ xa trong công cụ VBScript. Cả hai lỗi này đều tồn tại trong cách
VBScript xử lý các đối tượng trong bộ nhớ, cho phép kẻ tấn công làm hỏng bộ nhớ
và thực thi mã tùy ý trong ngữ cảnh của người dùng hiện tại.



Hai lỗ hổng mang số hiệu CVE-2019-1238 và CVE-2019-1239 có thể được khai thác từ xa bằng cách lừa nạn nhân truy cập vào một trang web được chế tạo đặc biệt thông qua Internet Explorer.



>> CVE là gì



Kẻ tấn công cũng có thể khai thác các vấn đề này bằng cách sử
dụng một ứng dụng hoặc tài liệu Microsoft Office bằng cách nhúng một điều khiển
ActiveX được đánh dấu ‘safe for initialization’ (an toàn cho việc khởi tạo) sử
dụng công cụ rendering Internet Explorer.



Cũng giống như mấy tháng trước , tháng này Microsoft cũng vá một lỗ hổng cho phép thực hiện cuộc tấn công RDP đảo ngược , nơi các hacker có thể kiểm soát các máy khách kết nối với máy chủ RDP độc hại bằng cách khai thác lỗ hổng thực thi mã từ xa nghiêm trọng trong ứng dụng Remote Desktop Client tích hợp trong Windows.



Không giống như lỗ hổng BlueKeep wormable, lỗ hổng RDP mới được vá nằm ở
phía máy khách. Để khai thác thành công, các hacker sẽ phải lừa nạn nhân kết nối
với máy chủ RDP độc hại sử dụng kỹ thuật ‘social engineering’, đầu độc DNS hoặc
Man in the Middle (MITM).



Ba lỗ hổng RCE nghiêm trọng là các vấn đề hỏng bộ nhớ nằm
trong cách công cụ scripting Chakra xử lý các đối tượng trong bộ nhớ của
Microsoft Edge.



Một lỗ hổng RCE nghiêm trọng khác là lỗi leo thang đặc quyền tồn tại
khi Dịch vụ ứng dụng Azure trên Azure Stack không thể kiểm tra độ dài của bộ đệm
(buffer) trước khi sao chép bộ nhớ vào nó.



Bản vá cho nhiều lỗ hổng “quan trọng” nằm trong các sản phẩm phổ biến của Microsoft



Các lỗ hổng khác được Microsoft vá trong tháng này và được gắn mác “quan
trọng” nằm trong các sản phẩm và dịch vụ sau của Microsoft:




Microsoft Windows
Internet Explorer
Microsoft Edge
ChakraCore
Microsoft Office, Office Services (Dịch vụ Office) và Ứng dụng web
SQL Server Management Studio
Open Source Software (Phần mềm mã nguồn mở)

Microsoft Dynamics 365
Windows Update Assistant (Trợ lý cập nhật Windows)


Hầu hết các lỗ hổng này cho phép các hacker leo thang đặc
quyền và một số lỗ hổng cũng dẫn đến các cuộc tấn công thực thi mã từ xa. Trong
khi đó, một số lỗ hổng khác sẽ cho phép tiết lộ thông tin, kịch bản chéo trang
(XSS), bypass tính năng bảo mật, giả mạo hoặc cho phép thực hiện các cuộc tấn công
từ chối dịch vụ.



Người dùng Windows và quản trị viên hệ thống được khuyến nghị nên áp dụng các bản vá bảo mật mới nhất càng sớm càng tốt nhằm ngăn chặn khả năng các hacker và tội phạm mạng có thể khai thác các lỗ hổng để kiểm soát máy tính của họ.



Để cài đặt các bản cập nhật bảo mật Windows mới nhất, bạn có thể vào Settings (Cài đặt) → Update & Security (Cập nhật & Bảo mật) → Windows Update (Cập nhật Windows) → Check for updates on your PC (Kiểm tra các bản cập nhật trên PC) hoặc bạn có thể cài đặt các bản cập nhật theo cách thủ công.



THN
The post [Microsoft] Bản cập nhật tháng 10 vá 59 lỗ hổng bảo mật appeared first on SecurityDaily .

Top News