Microsoft phát hành bản vá cho 74 lỗ hổng mới trong bản cập nhật tháng 8

Microsoft phát hành bản vá cho 74 lỗ hổng mới trong bản cập nhật tháng 8

Microsoft đã vá tổng cộng 74 lỗ hổng trong phần mềm của mình như một phần của bản cập nhật Patch Tuesday của công ty vào tháng 8 năm 2023, giảm so với 132 lỗ hổng khổng lồ mà công ty đã sửa vào tháng trước.

Microsoft phát hành bản vá cho 74 lỗ hổng mới trong bản cập nhật tháng 8

Điều này bao gồm sáu lỗ hổng nghiêm trọng, 67 quan trọng và một lỗ hổng ở mức độ nghiêm trọng vừa phải. Được phát hành cùng với các cải tiến về bảo mật là hai bản cập nhật chuyên sâu về phòng thủ cho Microsoft Office (ADV230003) và Công cụ quét tính sẵn sàng của hệ thống toàn vẹn bộ nhớ (ADV230004).

Các bản cập nhật này cũng bao gồm 30 vấn đề đã được Microsoft giải quyết trong trình duyệt Edge dựa trên Chrome kể từ phiên bản Patch Tuesday tháng trước và một lỗ hổng kênh bên ảnh hưởng đến một số mẫu bộ xử lý do AMD cung cấp (CVE-2023-20569 hoặc Inception).

ADV230003 liên quan đến một lỗ hổng bảo mật đã biết có tên là CVE-2023-36884, một lỗ hổng thực thi mã từ xa trong Office và Windows HTML đã bị kẻ đe dọa RomCom liên kết với Nga khai thác tích cực trong các cuộc tấn công nhắm vào Ukraine cũng như các mục tiêu thân Ukraine ở Đông Âu và Bắc Mỹ.

Microsoft cho biết việc cài đặt bản cập nhật mới nhất sẽ "ngăn chặn chuỗi tấn công" dẫn đến lỗi thực thi mã từ xa.

Bản cập nhật bảo vệ chuyên sâu khác dành cho công cụ quét Tính sẵn sàng của Hệ thống Tính toàn vẹn của Bộ nhớ, được sử dụng để kiểm tra các vấn đề tương thích với tính toàn vẹn của bộ nhớ (còn gọi là tính toàn vẹn mã được bảo vệ bởi bộ ảo hóa hoặc HVCI), xử lý một lỗi được biết đến công khai trong đó "bản gốc phiên bản đã được xuất bản mà không có phần RSRC chứa thông tin tài nguyên cho mô-đun."

Cũng được gã khổng lồ công nghệ vá nhiều lỗi thực thi mã từ xa trong Microsoft Message Queuing (MSMQ) và Microsoft Teams cũng như một số lỗ hổng giả mạo trong Azure Apache Ambari, Azure Apache Hadoop, Azure Apache Hive, Azure Apache Oozie, Azure DevOps Server , Azure HDInsight Jupyter và .NET Framework.

Ngoài ra, Redmond đã giải quyết sáu lỗ hổng từ chối dịch vụ (DoS) và hai lỗ hổng tiết lộ thông tin trong MSMQ, đồng thời giải quyết một số vấn đề khác được phát hiện trong cùng một dịch vụ có thể dẫn đến việc thực thi mã từ xa và DoS.

Ba lỗ hổng khác cần lưu ý là CVE-2023-35388, CVE-2023-38182 (điểm CVSS: 8.0) và CVE-2023-38185 (điểm CVSS: 8.8) – lỗi thực thi mã từ xa trong Exchange Server – hai lỗ hổng đầu tiên trong số đó đã được gắn thẻ đánh giá "Có nhiều khả năng khai thác hơn".

Natalie Silva, kỹ sư nội dung chính tại Immersive Labs, cho biết: “Việc khai thác CVE-2023-35388 và CVE-2023-38182 có phần bị hạn chế do cần có vectơ tấn công liền kề và thông tin xác thực Exchange hợp lệ”.

"Điều này có nghĩa là kẻ tấn công cần được kết nối với mạng nội bộ của bạn và có thể xác thực là người dùng Exchange hợp lệ trước khi chúng có thể khai thác những lỗ hổng này. Bất kỳ ai đạt được điều này đều có thể thực thi mã từ xa bằng phiên từ xa PowerShell."

Microsoft thừa nhận thêm tính khả dụng của khai thác bằng chứng khái niệm (PoC) đối với lỗ hổng DoS trong .NET và Visual Studio (CVE-2023-38180, điểm CVSS: 7.5), lưu ý rằng "mã hoặc kỹ thuật này không hoạt động trong mọi tình huống và có thể yêu cầu kẻ tấn công có tay nghề phải sửa đổi đáng kể."

Cuối cùng, bản cập nhật cũng bao gồm các bản vá cho 5 lỗi leo thang đặc quyền trong Windows Kernel (CVE-2023-35359, CVE-2023-35380, CVE-2023-35382, CVE-2023-35386 và CVE-2023-38154, điểm CVSS : 7.8) có thể được vũ khí hóa bởi kẻ đe dọa có quyền truy cập cục bộ vào máy mục tiêu để giành được các đặc quyền hệ thống.

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Thông báo nghỉ lễ Giải Phóng Miền Nam 30/4 và Quốc Tế Lao Động 1/5 năm 2025

Nhân dịp kỷ niệm 50 năm ngày Giải Phóng Miền Nam Thống Nhất Đất Nước 30/4, NTS xin thông báo đến Quý khách hàng và đối tác, chúng tôi sẽ nghỉ lễ Giải...

Chi tiết
Standard Post with Image

Kaspersky cảnh báo sự gia tăng của các cuộc tấn công từ thiết bị ngoại tuyến nhắm vào doanh nghiệp Đông Nam Á

Trong bối cảnh các doanh nghiệp ngày càng chú trọng tăng cường bảo mật cho hệ thống mạng trực tuyến, một hình thức tấn công “thầm lặng” nhưng cực kỳ...

Chi tiết
Standard Post with Image

Kaspersky chuyển đổi sản phẩm – ngừng bán phiên bản cũ từ 30/6/2025

Sau ngày 30/06/2025, các dòng sản phẩm bảo mật doanh nghiệp của Kaspersky hiện tại sẽ được thay thế bởi bộ giải pháp Kaspersky Next hiện đại và mạnh...

Chi tiết