Microsoft phát hành bản vá bảo mật tháng 9 năm 2020

Microsoft phát hành bản vá bảo mật tháng 9 năm 2020

September 9, 2020 | vietsunshine

Microsoft đã phát hành một loạt bản cập nhật bảo mật mới để sửa chữa tổng số 129 lỗ hổng bảo mật mới được phát hiện ảnh hưởng đến các phiên bản khác nhau của hệ điều hành Windows và phần mềm liên quan.

Trong số 129 lỗi trên các sản phẩm khác nhau của nó – Microsoft Windows, trình duyệt Edge, Internet Explorer, ChakraCore, SQL Server, Exchange Server, Office, ASP.NET, OneDrive, Azure DevOps, Visual Studio và Microsoft Dynamics – đã nhận được các bản vá mới, 23 được liệt kê là nghiêm trọng, 105 là quan trọng và một ở mức độ nghiêm trọng vừa phải.

Không giống như vài tháng trước, không có lỗ hổng bảo mật nào mà gã khổng lồ công nghệ đã vá vào tháng 9 được liệt kê là được biết đến công khai hoặc đang bị tấn công tích cực tại thời điểm phát hành hoặc ít nhất là Microsoft không biết.

Lỗ hổng nổi bật nhất là CVE-2020-16875 trong phần mềm Microsoft Exchange. Việc khai thác lỗ hổng này có thể cho phép kẻ tấn công chạy mã tùy ý ở cấp HỆ THỐNG bằng cách gửi một email được chế tạo đặc biệt tới Máy chủ Exchange dễ bị tấn công.

“Một lỗ hổng thực thi mã từ xa tồn tại trong phần mềm Microsoft Exchange khi phần mềm không xử lý đúng các đối tượng trong bộ nhớ”, Microsoft giải thích. “Sau đó, kẻ tấn công có thể cài đặt các chương trình; xem, thay đổi hoặc xóa dữ liệu; hoặc tạo tài khoản mới.”

Microsoft cũng đã vá hai lỗi thực thi mã từ xa quan trọng trong Windows Codecs Library; cả hai đều tồn tại theo cách mà Microsoft Windows Codecs Library xử lý các đối tượng trong bộ nhớ, nhưng trong khi một (CVE-2020-1129) có thể bị lợi dụng để lấy thông tin nhằm xâm phạm hệ thống của người dùng hơn nữa, thì cái kia (CVE-2020-1319) có thể được sử dụng để kiểm soát hệ thống bị ảnh hưởng.

Bên cạnh đó, hai lỗi thực thi mã từ xa ảnh hưởng đến việc triển khai on-prem của Microsoft Dynamics 365, nhưng cả hai đều yêu cầu kẻ tấn công phải được xác thực.

Microsoft cũng đã vá sáu lỗ hổng thực thi mã từ xa nghiêm trọng trong SharePoint và một lỗ hổng trong SharePoint Server. Trong khi khai thác lỗ hổng trong SharePoint Server yêu cầu xác thực, các lỗ hổng khác trong SharePoint thì không.

Các lỗi nghiêm trọng khác mà gã khổng lồ công nghệ đã vá trong tháng này nằm trong Windows, Windows Media Audio Decoder, Windows Text Service Module, Windows Camera Codec Pack, Visual Studio, Scripting Engine, Microsoft COM for Windows, Microsoft Browser, và Graphics Device Interface.

Các lỗ hổng được đánh dấu là quan trọng nằm trong Windows, Active Directory, Active Directory Federation Services (ADFS), Internet Explorer Browser Helper, Jet Database Engine, ASP.NET Core, Dynamics 365, Excel, Graphics Component, Office, Office SharePoint, SharePoint Server, SharePoint, Word, OneDrive for Windows, Scripting Engine, Visual Studio, Win32k, Windows Defender Application Control, Windows DNS…

Hầu hết các lỗ hổng này đều cho phép tiết lộ thông tin, nâng cao đặc quyền và cross-Site Scripting. Một số cũng dẫn đến các cuộc tấn công thực thi mã từ xa. Ngược lại, những người khác cho phép các cuộc tấn công bỏ qua tính năng bảo mật, giả mạo, và từ chối dịch vụ.

Người dùng Windows và quản trị viên hệ thống được khuyến cáo áp dụng các bản vá bảo mật mới nhất càng sớm càng tốt để ngăn chặn tội phạm mạng và tin tặc chiếm quyền kiểm soát máy tính của họ.

Để cài đặt các bản cập nhật bảo mật, hãy đi tới Cài đặt → Cập nhật & bảo mật → Windows Update → Kiểm tra các bản cập nhật hoặc cài đặt các bản cập nhật theo cách thủ công.

Nguồn: Microsoft Releases September 2020 Security Patches For 129 Flaws

Tags: , ,