Microsoft phát hành Windows Security Updates cho các lỗi nghiêm trọng

Microsoft phát hành Windows Security Updates cho các lỗi nghiêm trọng

November 12, 2020 | vietsunshine

Microsoft chính thức phát hành các bản sửa lỗi cho 112 lỗ hổng bảo mật mới được phát hiện trong khuôn khổ November 2020 Patch Tuesday, bao gồm cả lỗ hổng zero-day đang bị khai thác được phát hiện bởi nhóm bảo mật của Google vào tuần trước.

Trong số các lỗi đã được giải quyết, có 17 lỗi là nghiêm trọng, 93 lỗi được đánh giá quan trọng và hai được đánh giá mức độ nghiêm trọng thấp, một lần nữa đưa số bản vá lên hơn 110 sau khi sụt giảm vào tháng trước.

Các bản cập nhật bảo mật bao gồm một loạt phần mềm, bao gồm Microsoft Windows, Office và Office Services và Web Apps, Internet Explorer, Edge, ChakraCore, Exchange Server, Microsoft Dynamics, Windows Codec Library, Azure Sphere, Windows Defender, Microsoft Teams và Visual Studio.

Đứng đầu trong số những lỗi đã được sửa là CVE-2020-17087 (điểm CVSS 7,8), một lỗi tràn bộ đệm trong Windows Kernel Cryptography Driver (“cng.sys”) đã được nhóm Google Project Zero tiết lộ vào ngày 30 tháng 10 khi được sử dụng cùng với Chrome zero-day để xâm phạm người dùng Windows 7 và Windows 10.

Về phần mình, Google đã phát hành bản cập nhật cho trình duyệt Chrome của mình để giải quyết vấn đề zero-day (CVE-2020-15999) vào tháng trước.

Ngoài zero-day, bản cập nhật sửa một số lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Exchange Server (CVE-2020-17084), Network File System (CVE-2020-17051), và Microsoft Teams (CVE-2020-17091), cũng như lỗ hổng bảo mật trong phần mềm ảo hóa Windows Hyper-V (CVE-2020-17040).

CVE-2020-17051 được xếp hạng 9,8 trên 10 điểm tối đa trong điểm CVSS, khiến nó trở thành một lỗ hổng nghiêm trọng. Tuy nhiên, Microsoft lưu ý rằng độ phức tạp tấn công của lỗ hổng với các điều kiện nằm ngoài tầm kiểm soát của kẻ tấn công phải có để khai thác lỗ hổng – vì vậy khả năng khai thác là thấp.

Cũng giống như zero-day, các lời khuyên liên quan đến những thiếu sót bảo mật này chỉ mang tính mô tả, có rất ít hoặc không có thông tin về cách các lỗi RCE này bị lạm dụng hoặc tính năng bảo mật nào trong Hyper-V đang bị bypass.

Các lỗ hổng nghiêm trọng khác được Microsoft sửa trong tháng này bao gồm lỗ hổng hỏng bộ nhớ trong Microsoft Scripting Engine (CVE-2020-17052) và Internet Explorer (CVE-2020-17053), và nhiều lỗ hổng RCE trong thư viện Mã mở rộng Video HEVC.

Người dùng Windows và quản trị viên hệ thống rất nên áp dụng các bản vá bảo mật mới nhất để giải quyết các mối đe dọa liên quan đến những vấn đề này.

Để cài đặt các bản cập nhật bảo mật mới nhất, người dùng Windows có thể đi tới Start > Settings > Update & Security > Windows Update hoặc bằng cách chọn Kiểm tra các bản cập nhật Windows.

Nguồn: Microsoft Releases Windows Security Updates For Critical Flaws

Xem thêm: CẢNH BÁO: Google tiết lộ lỗi Windows Zero-Day đang bị hacker khai thác

Tags: , ,