Thông báo Microsoft phát hành bản vá hàng tháng cho các sản phẩm của Microsoft (Microsoft October 2023 Patch Tuesday)
Trong bản vá tháng 10 này Microsoft đã vá tổng cộng 104 lỗ hổng trong đó có 3 lỗ hổng Zero-day bị khai thác tích cực trong thực tế. Bản vá này đã fix 1 số lượng lớn lỗ hổng với 12 lỗ hổng được đánh giá là Critical (Nghiêm trọng) cho phép kẻ tấn công thực thi mã từ xa, từ chối dịch vụ hoặc leo thang đặc quyền.
Trong 104 lỗ hổng được fix cũng có các lỗ hổng được đánh giá là rất nghiêm trọng, những lỗ hổng này cho phép kẻ tấn công có thể leo thang đặc quyền, giả mạo và nghiêm trọng hơn là thực thi mã từ xa trên máy nạn nhân để thực hiện các cuộc tấn công mã hóa đòi tiền chuộc. Còn lại các lỗ hổng cũng được đánh giá là nghiêm trọng dựa trên mức ảnh hưởng của từng lỗ hổng. Các lỗ hổng bao gồm:
- 26 lỗ hổng leo thang đặc quyền
- 3 lỗ hổng Bypass Security Features
- 45 lỗ hổng thực thi mã từ xa
- 12 lỗ hổng lộ thông tin nhạy cảm
- 17 lỗ hổng từ chối dịch vụ
- 1 lỗ hổng giả mạo
Trong tổng số 104 lỗ hổng không bao gồm 1 lỗ hổng Microsoft Edge (Chromium).
Bản vá tháng 10 này đã vá 3 lỗ hổng Zero-day bị khai thác tích cực, đó là:
- CVE-2023-41763: Lỗ hổng leo thang đặc quyền trong Skype for Business.
- CVE-2023-36563: Lỗ hổng lộ thông tin nhạy cảm trong Microsoft WordPad
- CVE-2023-44487: Tấn công Rapid Reset HTTP/2
Ngoài ra có các lỗ hổng được đánh giá là rất nghiêm trọng do dựa trên khả năng khai thác và mức độ ảnh hưởng do lỗ hổng mang lại. Cụ thể bao gồm các lỗ hổng như sau:
Lỗ hổng thực thi mã từ xa (Remote code excution):
- CVE-2023-41770, CVE-2023-41765, CVE-2023-41767, CVE-2023-38166, CVE-2023-41774, CVE-2023-41773, CVE-2023-41771, CVE-2023-41769, CVE-2023-41768: Lỗ hổng tồn tại trong Windows Layer 2 Tunneling Protocol
- CVE-2023-35349, CVE-2023-36697: Lỗ hổng tồn tại trong Windows Message Queuing
- CVE-2023-36718: Lỗ hổng tồn tại trong Windows Virtual Trusted Platform Module
Bên cạnh đó Microsoft cũng phát hành bản vá cho các phần mềm như HTTP/2, Microsoft Office , Windows IIS, SQL Server,...
2. Google Chrome phát hành bản cập nhật
Google Chrome vừa phát hành bản cập nhật Stable Channel for Desktop dành cho Windows, Mac và Linux. Bản cập nhật này đã vá tổng cộng 20 lỗ hổng, các lỗ hổng này sẽ cho phép kẻ tấn công từ xa khai thác lỗi tràn bộ nhớ heap qua trang HTML tự tạo; Từ đó sẽ cho phép kẻ tấn công thực thi mã tùy ý, từ chối dịch vụ hoặc làm lộ thông tin nhạy cảm.
Để bảo vệ và tránh các rủi ro, Bizfly Cloud khuyến nghị người dùng cần:
- Luôn bật chức năng Update của hệ điều hành.
- Trong quá trình Update luôn tuân thủ các hướng dẫn trên màn hình (Khởi động lại máy tính, không tắt máy trong quá trình Update...)
- Chủ động update Chrome lên phiên bản 118.0.5993.70 (cho Linux và Mac) và 118.0.5993.70/.71 (cho Windows).
Link các phần mềm được phát hành bản vá trong tháng này của Microsoft và thông tin chi tiết về bản cập nhật mới của Google Chrome:
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_10.html
>> Xem thêm về bản cập nhật tháng 9: Thông báo update bản vá tháng 9 của Microsoft và bản cập nhật của Google Chrome
