Bản vá Past Tuesday của Microsoft sửa lỗi thành công 2 lỗ hổng zero-day trong tháng 10/2022

Một số lỗi Windows được cảnh báo là cực nghiêm trọng đã được sửa, nhưng một vài lỗi khác tiềm ẩn vẫn còn.

Microsoft đã phát hành một loạt bản cập nhật mới nhằm vá vài lỗi trong Windows và các sản phẩm phần mềm phổ biến khác. Các bản cập nhật quan trọng nhất đã khắc phục một số lỗi zero-day, nhưng hai lỗi Exchange được phát hiện trong những tuần gần đây vẫn là mối nguy hiểm cho các máy chủ mail trên toàn thế giới.

Patch Tuesday là một tập hợp các gói cập nhật mà Microsoft đã phát hành trong tháng. Thuật ngữ này được công ty áp dụng lên Windows kể từ tháng 10 năm 2003. Khi Microsoft vá các lỗ hổng bảo mật, hãng này không phát hành các bản vá đó ngay lập tức. Thay vào đó, công ty tập hợp các bản sửa lỗi đó thành một bản cập nhật lớn hơn, được phát hành vào Patch Tuesday.

Past Tuesday của Microsoft sửa lỗi thành công 2 lỗ hổng zero-day trong tháng 10/2022

Bản cập nhật bảo mật tháng 10 năm 2022 do Microsoft phát hành bao gồm các bản sửa lỗi cho 84 lỗi bảo mật được tìm thấy trong các thành phần khác nhau của Windows (từ Kernel đến CD-ROM drive), Microsoft Edge, Azure, Active Directory Domain Services, Visual Studio Code, tập hợp file NTFS , TCP / IP, Win32K API và nhiều sản phẩm hoặc tính năng khác. 13 lỗ hổng được phân loại là "cực kỳ nghiêm trọng", vì chúng gây ra mối nguy hiểm lớn nhất cho các máy chủ và hệ thống của người dùng.

84 lỗi nói trên bao gồm 39 lỗ hổng nâng cấp đặc quyền, 2 lỗ hổng bỏ qua tính năng bảo mật, 20 lỗ hổng thực thi mã từ xa (RCE), 11 lỗ hổng tiết lộ thông tin, 8 lỗ hổng từ chối dịch vụ (DDoS) và 4 lỗ hổng giả mạo (spoofing). Hàng tá lỗi bổ sung trong trình duyệt Edge không được bao gồm vì chúng đã được sửa vào ngày 3 tháng 10.

Bản vá Patch Tuesday vào tháng 10 năm 2022 bao gồm các bản sửa lỗi cho hai lỗi zero-day, một loại lỗ hổng đã được tiết lộ công khai hoặc nó đang bị khai thác trong các cuộc tấn công. Lỗ hổng zero-day được khai thác tích cực được phân loại là Windows COM + Microsoft Office Information Disclosure Vulnerability ( CVE-2022-41033 ). Theo Microsoft, hacker đã "khai thác thành công lỗ hổng này và quyền truy cập vào HỆ THỐNG" trong khi có quyền truy cập cục bộ vào hệ thống được nhắm mục tiêu.

Past Tuesday của Microsoft sửa lỗi thành công 2 lỗ hổng zero-day trong tháng 10/2022

Lỗi được tiết lộ công khai là Lỗ hổng tiết lộ thông tin của Microsoft Office ( CVE-2022-41043 ) và những kẻ tấn công có thể sử dụng nó để tiết lộ mã thông báo của người dùng hoặc "thông tin nhạy cảm tiềm ẩn khác". Microsoft cho biết lỗ hổng CVE-2022-41033 dường như được phát hiện bởi một nhà nghiên cứu "ẩn danh", trong khi CVE-2022-41043 được tìm thấy bởi nhà nghiên cứu bảo mật SpectreOps Cody Thomas.

Thật không may cho các công ty và người dùng chuyên nghiệp, Patch Tuesday của tháng này không bao gồm bản sửa lỗi thích hợp cho các lỗi zero-day đã được tiết lộ trước đó trong Microsoft Exchange/.

 

Bài viết liên quan

Bài viết đọc nhiều nhất

Lên đầu trang