Microsoft phát hành bản cập nhật Windows khẩn cấp để vá hai lỗ hổng nghiêm trọng

Microsoft phát hành bản cập nhật Windows khẩn cấp để vá hai lỗ hổng nghiêm trọng

July 3, 2020 | vietsunshine

Microsoft đã phát hành các bản cập nhật phần mềm out-of-band để vá hai lỗ hổng bảo mật có rủi ro cao ảnh hưởng đến hàng trăm triệu người dùng phiên bản Windows 10 và Server.

Lưu ý rằng Microsoft đã vội vã cung cấp các bản vá gần hai tuần trước khi bản cập nhật ‘Patch Tuesday Updates’ sẽ được phát hành vào 14 tháng 7 tới.

Điều đó có thể là do cả hai lỗ hổng đều nằm trong Windows Codecs Library, một vectơ tấn công dễ dàng để sử dụng kỹ thuật social engineer nhằm chạy các tệp media độc hại được tải xuống từ internet.

Cho những ai chưa biết, Codec là một tập hợp các thư viện hỗ trợ giúp hệ điều hành Windows phát, nén và giải nén các phần mở rộng tệp âm thanh và video khác nhau.

Hai lỗ hổng bảo mật mới được tiết lộ, được gán CVE-2020-1425CVE-2020-1456, đều là các lỗi thực thi mã từ xa có thể cho phép kẻ tấn công thực thi mã tùy ý và điều khiển máy tính Windows bị xâm nhập.

Theo Microsoft, cả hai lỗ hổng thực thi mã từ xa đều nằm trong cách thư viện codec Microsoft Windows xử lý các đối tượng trong bộ nhớ.

Tuy nhiên, việc khai thác cả hai lỗ hổng đòi hỏi kẻ tấn công lừa người dùng chạy hệ thống Windows bị ảnh hưởng nhấp vào tệp hình ảnh được chế tạo đặc biệt được thiết kế để mở với bất kỳ ứng dụng nào sử dụng Windows Codec Library.

Trong cả hai, CVE-2020-1425 quan trọng hơn vì việc khai thác thành công có thể cho phép kẻ tấn công thậm chí thu thập dữ liệu để thỏa hiệp hệ thống người dùng bị ảnh hưởng hơn nữa.

Tuy nhiên, không có lỗ hổng bảo mật nào được báo cáo là đang bị khai thác trong tự nhiên bởi tin tặc tại thời điểm Microsoft phát hành bản vá khẩn cấp.

Cả hai lỗ hổng đã được Abdul-Aziz Hariri của Trend Micro’s Zero Day Initiative báo cáo cho Microsoft, và ảnh hưởng đến các hệ điều hành sau:

  • Windows 10 version 1709
  • Windows 10 version 1803
  • Windows 10 version 1809
  • Windows 10 version 1903
  • Windows 10 version 1909
  • Windows 10 version 2004
  • Windows Server 2019
  • Windows Server version 1803
  • Windows Server version 1903
  • Windows Server version 1909
  • Windows Server version 2004

Do đây là bản vá bảo mật out-of-band, nên người dùng bị ảnh hưởng sẽ được cập nhật tự động mà không yêu cầu thêm bất kỳ hành động nào.

Nguồn: Microsoft Releases Urgent Windows Update to Patch Two Critical Flaws

Tags: , ,