-
09/04/2020
-
93
-
600 bài viết
Patch Tuesday tháng 6/2023 của Microsoft vá 6 lỗ hổng nghiêm trọng
Microsoft vừa phát hành bản cập nhật cho 78 lỗ hổng, có 38 lỗ hổng thực thi mã từ xa (RCE) và 6 lỗ hổng nghiêm trọng liên quan đến RCE, leo thang đặc quyền và từ chối dịch vụ.
Số lượng các lỗ hổng bao gồm:
Bản vá tháng này không khắc phục bất kỳ lỗ hổng zero-day hoặc lỗ hổng đang bị khai thác nào, giúp giảm bớt “gánh nặng” cho các quản trị viên.
Microsoft còn liệt kê 6 lỗ hổng nghiêm trọng liên quan đến các cuộc tấn công từ chối dịch vụ, thực thi mã từ xa và leo thang đặc quyền:
Hãng cũng phát hành bản cập nhật Microsoft Office cho các lỗ hổng cho phép kẻ tấn công sử dụng các tài liệu Excel và OneNote độc hại tự tạo, từ đó thực thi mã từ xa hoặc yêu cầu người dùng nhấp vào liên kết trong tệp hoặc email độc hại.
Số lượng các lỗ hổng bao gồm:
- 17 lỗ hổng leo thang đặc quyền
- 3 lỗ hổng vượt qua tính năng bảo mật
- 32 lỗ hổng thực thi mã từ xa
- 5 lỗ hổng tiết lộ thông tin
- 10 lỗ hổng từ chối dịch vụ
- 10 lỗ hổng mạo danh
- 1 lỗ hổng trong trình duyệt Edge - Chromium
Bản vá tháng này không khắc phục bất kỳ lỗ hổng zero-day hoặc lỗ hổng đang bị khai thác nào, giúp giảm bớt “gánh nặng” cho các quản trị viên.
Microsoft còn liệt kê 6 lỗ hổng nghiêm trọng liên quan đến các cuộc tấn công từ chối dịch vụ, thực thi mã từ xa và leo thang đặc quyền:
- CVE-2023-29357, điểm CVSS 9,8, lỗ hổng leo thang đặc quyền trong server Microsoft SharePoint cho phép kẻ tấn công chiếm đặc quyền của người dùng khác, bao gồm cả quản trị viên. Microsoft không công bố thông tin chi tiết về kỹ thuật và cho biết kẻ tấn công có quyền truy cập vào mã thông báo xác thực JWT giả mạo để thực hiện tấn công vượt qua xác thực và cho phép truy cập vào các đặc quyền của người dùng được xác thực.
- 3 lỗ hổng thực thi mã từ xa CVE-2023-29363, CVE-2023-32014 và CVE-2023-32015, đều có điểm CVSS 9,8 trong Windows Pragmatic General Multicast (PGM) có thể bị lạm dụng để thực thi mã độc.
- 2 lỗ hổng từ chối dịch vụ CVE-2023-32013, điểm CVSS 6,5 trong Windows Hyper-V và lỗ hổng thực thi mã từ xa CVE-2023-24897, điểm CVSS 7,8 trong nền tảng .NET, .NET Framework và phần mềm Visual Studio.
Hãng cũng phát hành bản cập nhật Microsoft Office cho các lỗ hổng cho phép kẻ tấn công sử dụng các tài liệu Excel và OneNote độc hại tự tạo, từ đó thực thi mã từ xa hoặc yêu cầu người dùng nhấp vào liên kết trong tệp hoặc email độc hại.
- CVE-2023-33133, CVE-2023-33133 và CVE-2023-33137 (trong Excel)
- CVE-2023-33140 (OneNote)
- CVE-2023-33131 (Outlook)
Theo Bleeping Computer
Chỉnh sửa lần cuối: