WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Bản vá tháng 7 của Microsoft vá nhiều lỗi quan trọng trong Office và các phần mềm
Ngày 10/7, Microsoft phát hành bản cập nhật an ninh khắc phục 53 lỗ hổng ảnh hưởng đến Windows, Internet Explorer (IE), Edge, ChakraCore, .NET Framework, ASP.NET, PowerShell, Visual Studio, Microsoft Office và Dịch vụ Office, và Adobe Flash Player.
Trong 53 lỗ hổng, có 17 lỗ hổng được đánh giá nghiêm trọng, 34 lỗ hổng quan trọng, một lỗ hổng ở mức trung bình và một ở mức nghiêm trọng thấp.
Tháng này, trong số các lỗ hổng đã được vá, không lỗ hổng nào nằm trong hệ điều hành Microsoft Windows và không lỗ hổng nào đã được công khai hoặc bị tấn công trong thực tế.
Các lỗi nghiêm trọng được vá trong sản phẩm của Microsoft
Hầu hết các vấn đề nghiêm trọng là lỗi bộ nhớ trong trình duyệt IE, Edge và chương trình Chakra, nếu được khai thác thành công, có thể cho phép kẻ tấn công từ xa trái phép thực thi mã tùy ý trên hệ thống mục tiêu với vai trò là người dùng hiện tại.
"Nếu người dùng hiện tại đăng nhập với quyền người dùng quản trị, kẻ tấn công khai thác thành công lỗ hổng có thể kiểm soát hệ thống bị ảnh hưởng. Sau đó, kẻ tấn công có thể cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới với quyền người dùng đầy đủ", Microsoft giải thích.
Một trong những lỗ hổng nghiêm trọng này (CVE-2018-8327), được báo cáo bởi các nhà nghiên cứu tại Casaba Security, cũng ảnh hưởng đến PowerShell Editor Services có thể cho phép kẻ tấn công từ xa thực thi mã độc hại trên một hệ thống dễ bị tổn thương.
Dưới đây là danh sách các lỗ hổng nghiêm trọng mà Microsoft đã vá tháng này trong các sản phẩm khác nhau:
- Lỗi bộ nhớ trong Scripting Engine (CVE-2018-8242)
- Lỗi bộ nhớ trong Edge (CVE-2018-8262)
- Lỗi bộ nhớ trong Edge (CVE-2018-8274)
- Lỗi bộ nhớ trong Scripting Engine (CVE-2018-8275)
- Lỗi bộ nhớ trong Scripting Engine (CVE-2018-8279)
- Lỗi bộ nhớ trong Chakra Scripting Engine (CVE-2018-8280)
- Lỗi bộ nhớ trong Scripting Engine (CVE-2018-8283)
- Lỗi bộ nhớ trong Chakra Scripting Engine (CVE-2018-8286)
- Lỗi bộ nhớ trong Scripting Engine (CVE-2018-8288)
- Lỗi bộ nhớ trong Chakra Scripting Engine (CVE-2018-8290)
- Lỗi bộ nhớ trong Scripting Engine (CVE-2018-8291)
- Lỗi bộ nhớ trong Chakra Scripting Engine (CVE-2018-8294)
- Lỗi bộ nhớ trong Scripting Engine (CVE-2018-8296)
- Lỗi bộ nhớ trong Chakra Scripting Engine (CVE-2018-8298)
- Lỗi bộ nhớ trong Microsoft Edge Memory Corruption Vulnerability (CVE-2018-8301)
- Lỗi tiết lộ thông tin trong Microsoft Edge (CVE-2018-8324)
- Lỗi thực thi mã từ xa trong PowerShell Editor Services (CVE-2018-8327)
Các lỗi quan trọng được vá trong các sản phẩm của Microsoft
Microsoft cũng đã giải quyết 34 lỗi quan trọng được phân loại như sau:
- Microsoft Edge — Lỗi thực thi mã từ xa (RCE), tiết lộ thông tin, giả mạo và vượt qua tính năng an ninh
- Microsoft Internet Explorer (IE) – Lỗi RCE và vượt qua tính năng an ninh
- MS Office (Powerpoint, Word, Excel, Access, Lync, Skype) — lỗi vượt qua tính năng an ninh, RCE và lỗi leo thang đặc quyền
- Windows 10, 8.1, 7 và Server 2008, 2012, 2016 — Lỗi từ chối dịch vụ, vượt qua tính năng an ninh, leo thang đặc quyền
- Microsoft .NET Framework — Lỗi leo thang đặc quyền và RCE
- Microsoft SharePoint — Lỗi leo thang đặc quyền và RCE
- ChakraCore — Lỗi RCE và vượt qua tính năng an ninh
- Microsoft Visual Studio — Lỗi RCE
- Expression Blend 4 — Lỗi RCE
- ASP .NET — Lỗi vượt qua tính năng an ninh
- Mail, Calendar, và People trong Windows 8.1 App Store — Lỗ hổng tiết lộ thông tin
Bên cạnh đó, Microsoft cũng đưa ra các bản cập nhật an ninh để vá lỗ hổng trong các sản phẩm của Adobe.
Người dùng được khuyến cáo nên cập nhật các bản vá an ninh càng sớm càng tốt để tránh trở thành nạn nhân của tin tặc và tội phạm mạng.
Để cài đặt các bản cập nhật an ninh, chỉ cần vào Cài đặt → Cập nhật & bảo mật → Cập nhật Windows → Kiểm tra các bản cập nhật (Settings → Update & security → Windows Update → Check for updates) hoặc bạn có thể cài đặt các cập nhật theo cách thủ công.
Trong 53 lỗ hổng, có 17 lỗ hổng được đánh giá nghiêm trọng, 34 lỗ hổng quan trọng, một lỗ hổng ở mức trung bình và một ở mức nghiêm trọng thấp.
Tháng này, trong số các lỗ hổng đã được vá, không lỗ hổng nào nằm trong hệ điều hành Microsoft Windows và không lỗ hổng nào đã được công khai hoặc bị tấn công trong thực tế.
Các lỗi nghiêm trọng được vá trong sản phẩm của Microsoft
Hầu hết các vấn đề nghiêm trọng là lỗi bộ nhớ trong trình duyệt IE, Edge và chương trình Chakra, nếu được khai thác thành công, có thể cho phép kẻ tấn công từ xa trái phép thực thi mã tùy ý trên hệ thống mục tiêu với vai trò là người dùng hiện tại.
"Nếu người dùng hiện tại đăng nhập với quyền người dùng quản trị, kẻ tấn công khai thác thành công lỗ hổng có thể kiểm soát hệ thống bị ảnh hưởng. Sau đó, kẻ tấn công có thể cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới với quyền người dùng đầy đủ", Microsoft giải thích.
Một trong những lỗ hổng nghiêm trọng này (CVE-2018-8327), được báo cáo bởi các nhà nghiên cứu tại Casaba Security, cũng ảnh hưởng đến PowerShell Editor Services có thể cho phép kẻ tấn công từ xa thực thi mã độc hại trên một hệ thống dễ bị tổn thương.
Dưới đây là danh sách các lỗ hổng nghiêm trọng mà Microsoft đã vá tháng này trong các sản phẩm khác nhau:
- Lỗi bộ nhớ trong Scripting Engine (CVE-2018-8242)
- Lỗi bộ nhớ trong Edge (CVE-2018-8262)
- Lỗi bộ nhớ trong Edge (CVE-2018-8274)
- Lỗi bộ nhớ trong Scripting Engine (CVE-2018-8275)
- Lỗi bộ nhớ trong Scripting Engine (CVE-2018-8279)
- Lỗi bộ nhớ trong Chakra Scripting Engine (CVE-2018-8280)
- Lỗi bộ nhớ trong Scripting Engine (CVE-2018-8283)
- Lỗi bộ nhớ trong Chakra Scripting Engine (CVE-2018-8286)
- Lỗi bộ nhớ trong Scripting Engine (CVE-2018-8288)
- Lỗi bộ nhớ trong Chakra Scripting Engine (CVE-2018-8290)
- Lỗi bộ nhớ trong Scripting Engine (CVE-2018-8291)
- Lỗi bộ nhớ trong Chakra Scripting Engine (CVE-2018-8294)
- Lỗi bộ nhớ trong Scripting Engine (CVE-2018-8296)
- Lỗi bộ nhớ trong Chakra Scripting Engine (CVE-2018-8298)
- Lỗi bộ nhớ trong Microsoft Edge Memory Corruption Vulnerability (CVE-2018-8301)
- Lỗi tiết lộ thông tin trong Microsoft Edge (CVE-2018-8324)
- Lỗi thực thi mã từ xa trong PowerShell Editor Services (CVE-2018-8327)
Các lỗi quan trọng được vá trong các sản phẩm của Microsoft
Microsoft cũng đã giải quyết 34 lỗi quan trọng được phân loại như sau:
- Microsoft Edge — Lỗi thực thi mã từ xa (RCE), tiết lộ thông tin, giả mạo và vượt qua tính năng an ninh
- Microsoft Internet Explorer (IE) – Lỗi RCE và vượt qua tính năng an ninh
- MS Office (Powerpoint, Word, Excel, Access, Lync, Skype) — lỗi vượt qua tính năng an ninh, RCE và lỗi leo thang đặc quyền
- Windows 10, 8.1, 7 và Server 2008, 2012, 2016 — Lỗi từ chối dịch vụ, vượt qua tính năng an ninh, leo thang đặc quyền
- Microsoft .NET Framework — Lỗi leo thang đặc quyền và RCE
- Microsoft SharePoint — Lỗi leo thang đặc quyền và RCE
- ChakraCore — Lỗi RCE và vượt qua tính năng an ninh
- Microsoft Visual Studio — Lỗi RCE
- Expression Blend 4 — Lỗi RCE
- ASP .NET — Lỗi vượt qua tính năng an ninh
- Mail, Calendar, và People trong Windows 8.1 App Store — Lỗ hổng tiết lộ thông tin
Bên cạnh đó, Microsoft cũng đưa ra các bản cập nhật an ninh để vá lỗ hổng trong các sản phẩm của Adobe.
Người dùng được khuyến cáo nên cập nhật các bản vá an ninh càng sớm càng tốt để tránh trở thành nạn nhân của tin tặc và tội phạm mạng.
Để cài đặt các bản cập nhật an ninh, chỉ cần vào Cài đặt → Cập nhật & bảo mật → Cập nhật Windows → Kiểm tra các bản cập nhật (Settings → Update & security → Windows Update → Check for updates) hoặc bạn có thể cài đặt các cập nhật theo cách thủ công.
Theo The Hacker News
Chỉnh sửa lần cuối: