Thông báo update bản vá hàng tháng của Microsoft và bản cập nhật của Google Chrome

Bizfly Cloud

810

15-08-2023

Bizfly Cloud vừa thu thập được các thông tin liên quan tới việc phát hành bản vá hàng tháng của Microsoft và bản cập nhật của Google Chrome cụ thể như sau:

1. Microsoft vừa phát hành bản vá hàng tháng cho các sản phẩm của Microsoft (Microsoft August 2023 Patch Tuesday).

Trong bản vá tháng 8 này Microsoft đã vá tổng cộng 87 lỗ hổng trong đó có 2 lỗ hổng bị khai thác tích cực trong thực tế và 23 lỗ hổng thực thi mã từ xa.

Bản vá này đã fix 1 số lượng lớn lỗ hổng với 6 lỗ hổng được đánh giá là Critical (Nghiêm trọng) cho phép kẻ tấn công thực thi mã từ xa, từ chối dịch vụ hoặc leo thang đặc quyền.

Trong 87 lỗ hổng được fix cũng có các lỗ hổng được đánh giá là rất nghiêm trọng, những lỗ hổng này cho phép kẻ tấn công có thể leo thang đặc quyền, giả mạo và nghiêm trọng hơn là thực thi mã từ xa trên máy nạn nhân để thực hiện các cuộc tấn công mã hóa đòi tiền chuộc. Còn lại các lỗ hổng cũng được đánh giá là nghiêm trọng dựa trên mức ảnh hưởng của từng lỗ hổng. Các lỗ hổng bao gồm:

- 18 lỗ hổng leo thang đặc quyền

- 3 lỗ hổng Bypass Security Features

- 23 lỗ hổng thực thi mã từ xa

- 10 lỗ hổng lộ thông tin nhạy cảm

- 8 lỗ hổng từ chối dịch vụ

- 12 lỗ hổng giả mạo

Không bao gồm 12 lỗ hổng Microsoft Edge đã được fix vào đầu tháng này.

Bản vá tháng 8 này đã vá 2 lỗ hổng Zero-day bị khai thác tích cực, đó là:

- CVE-2023-36884: Lỗ hổng thực thi mã từ xa trong Office and Windows HTML. Microsoft đã phát hành bản cập nhật Office Defense in Depth để khắc phục một bản vá bỏ qua lỗ hổng thực thi mã từ xa CVE-2023-36884 đã khai thác tích cực trước đó.

- CVE-2023-38180: Lỗ hổng từ chối dịch vụ trong .NET và Visual Studio

Ngoài ra có các lỗ hổng được đánh giá là rất nghiêm trọng do dựa trên khả năng khai thác và mức độ ảnh hưởng do lỗ hổng mang lại. Cụ thể bao gồm các lỗ hổng như sau:

Lỗ hổng thực thi mã từ xa (Remote code excution):

- CVE-2023-36895: Lỗ hổng tồn tại trong Microsoft Outlook

- CVE-2023-29328, CVE-2023-29330: Lỗ hổng tồn tại trong Microsoft Teams

- CVE-2023-35385, CVE-2023-36911, CVE-2023-36910: Lỗ hổng tồn tại trong Windows Message Queuing

Một vài lỗ hổng được đánh giá là Important (Quan trọng) khác như:

- CVE-2023-36873: Lỗ hổng thực thi mã từ xa trong Microsoft .NET Framework

- CVE-2023-36896, CVE-2023-35371: Lỗ hổng thực thi mã từ xa trong Microsoft Office Excel

- CVE-2023-38169: Lỗ hổng thực thi mã từ xa trong Microsoft OLE DB (SQL Server)

Bên cạnh đó Microsoft cũng phát hành bản vá cho các phần mềm như .NET, Microsoft Office, Microsoft Teams, Visual Studio, ...

 2. Google Chrome phát hành bản cập nhật 

Google Chrome vừa phát hành bản cập nhật Stable Channel for Desktop dành cho Windows, Mac và Linux. Bản cập nhật này đã vá tổng cộng 17 lỗ hổng bảo mật, trong đó 9 lỗ hổng được đánh giá là High (Cao) và 2 lỗ hổng được đánh giá là Medium (Trung bình).

Những lỗ hổng này sẽ cho phép kẻ tấn công từ xa thực hiện đọc/ghi tùy ý hay khai thác lỗi heap qua trang HTML tự tạo; hoặc đánh lừa người dùng cài đặt tiện ích độc hại để tiêm tập lệnh hay HTML vào các trang có đặc quyền thông qua một Chrome Extension được tạo giả mạo. Từ đó sẽ cho phép kẻ tấn công thực thi mã tùy ý, từ chối dịch vụ hoặc làm lộ thông tin nhạy cảm.

- Luôn bật chức năng Update của hệ điều hành.

- Trong quá trình Update, các anh chị tuân thủ các hướng dẫn trên màn hình (Khởi động lại máy tính, không tắt máy trong quá trình Update...)

- Hướng dẫn Update Windows và Microsoft Office trong File đính kèm

- Chủ động update Chrome lên phiên bản 115.0.5790.170 (cho Linux và Mac), 115.0.5790.170 hoặc 115.0.5790.171 (cho Windows).

Link các phần mềm được phát hành bản vá trong tháng này của Microsoft và thông tin chi tiết về bản cập nhật mới của Google Chrome:

https://www.bleepingcomputer.com/news/microsoft/microsoft-august-2023-patch-tuesday-warns-of-2-zero-days-87-flaws/

https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop.html