Thông báo update bản vá tháng 3 của Microsoft và bản cập nhật của Skype
Bizfly Cloud vừa thu thập được các thông tin liên quan tới việc phát hành bản vá hàng tháng của Microsoft và bản cập nhật của Skype cụ thể như sau:
1. Microsoft vừa phát hành bản vá hàng tháng cho các sản phẩm của Microsoft ( Microsoft March 2024 Patch Tuesday )
Trong bản vá tháng 3 này Microsoft đã vá tổng cộng 60 lỗ hổng, trong đó có 18 lỗ hổng thực thi mã từ xa. Bản vá này đã fix 2 lỗ hổng được đánh giá là Critical (Nghiêm trọng) cho phép kẻ tấn công thực thi mã từ xa, từ chối dịch vụ hoặc leo thang đặc quyền.
Trong 60 lỗ hổng được fix cũng có các lỗ hổng được đánh giá là rất nghiêm trọng, những lỗ hổng này cho phép kẻ tấn công có thể leo thang đặc quyền, giả mạo và nghiêm trọng hơn là thực thi mã từ xa trên máy nạn nhân để thực hiện các cuộc tấn công mã hóa đòi tiền chuộc. Còn lại các lỗ hổng cũng được đánh giá là nghiêm trọng dựa trên mức ảnh hưởng của từng lỗ hổng. Các lỗ hổng bao gồm:
- 24 lỗ hổng leo thang đặc quyền
- 3 lỗ hổng Bypass Security Features
- 18 lỗ hổng thực thi mã từ xa
- 6 lỗ hổng lộ thông tin nhạy cảm
- 6 lỗ hổng từ chối dịch vụ
- 2 lỗ hổng giả mạo
Trong tổng số 60 lỗ hổng không bao gồm 4 lỗ hổng Microsoft Edge đã được fix vào đầu tháng này.
Bên cạnh đó có các lỗ hổng được đánh giá là rất nghiêm trọng do dựa trên khả năng khai thác và mức độ ảnh hưởng do lỗ hổng mang lại. Cụ thể bao gồm các lỗ hổng như sau:
Lỗ hổng leo thang đặc quyền:
- CVE-2024-21400: Lỗ hổng tồn tại trong Microsoft Azure Kubernetes Service Confidential Container
- CVE-2024-26199: Lỗ hổng tồn tại trong Microsoft Office
Lỗ hổng Bypass Security Features:
- CVE-2024-20671: Lỗ hổng tồn tại trong Microsoft Defender
Lỗ hổng thực thi mã từ xa:
- CVE-2024-21411: Lỗ hổng tồn tại trong Skype for Consumer
Đồng thời Microsoft cũng phát hành bản vá cho các phần mềm như .NET, Microsoft Office, Visual Studio Code,...
2. Skype phát hành bản cập nhật
Trong Skype for Consumer có tồn tại lỗ hổng thực thi mã từ xa, kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi cho người dùng 1 liên kết hoặc hình ảnh độc hại qua Instant Message, sau đó thuyết phục người dùng nhấp vào liên kết hoặc hình ảnh.
Để bảo vệ và tránh các rủi ro, Bizfly Cloud khuyến nghị người dùng nên:
- Luôn bật chức năng Update của hệ điều hành.
- Trong quá trình Update luôn tuân thủ các hướng dẫn trên màn hình (Khởi động lại máy tính, không tắt máy trong quá trình Update...)
- Cập nhật lên phiên bản mới nhất của Skype dành cho Windows, Mac và Linux
Link các phần mềm được phát hành bản vá trong tháng này của Microsoft và thông tin chi tiết về bản cập nhật mới của Skype:
- https://nvd.nist.gov/vuln/detail/CVE-2024-21411
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21411
