Hàng loạt lỗ hổng bảo mật trong Windows và Office được Microsoft khắc phục
18:29 14/11/2024
3 phút đọc
Bản cập nhật bảo mật tháng 11 của Microsoft đã được phát hành giải quyết 89 lỗ hổng bảo mật trên Windows và các ứng dụng, dịch vụ khác của Microsoft. Trong đó có 6 lỗ hổng zero-day trên Windows, 4 lỗ hổng được xếp loại “nguy hiểm” và hầu hết các lỗ hổng còn lại được đánh giá là “nguy cơ cao”.
Theo Microsoft, hai trong số các lỗ hổng Windows đã bị khai thác. Tính đến thời điểm hiện tại, chưa tính tháng 12, năm 2024 đã trở thành năm có số lượng lỗ hổng được vá đứng thứ hai.
Mặc dù Microsoft không cung cấp chi tiết về các lỗ hổng này trong hướng dẫn cập nhật bảo mật, Dustin Childs đã phân tích rõ ràng hơn trên blog Zero Day Initiative, đặc biệt hữu ích cho các quản trị viên quản lý mạng doanh nghiệp.
Ngoài ra, Microsoft cũng đã phát hành phiên bản mới của công cụ loại bỏ phần mềm độc hại Windows, giúp người dùng tìm và khắc phục các mối đe dọa phần mềm độc hại trên hệ thống.
Các lỗ hổng bảo mật Windows đã được cập nhật
Phần lớn các lỗ hổng được vá – 37 lỗ hổng – ảnh hưởng đến các phiên bản Windows khác nhau, bao gồm Windows 10, Windows 11 và Windows Server.
Lưu ý rằng Windows 10 sẽ ngừng được hỗ trợ vào năm sau, vì vậy người dùng nên nâng cấp lên Windows 11 nếu có thể. Tuy nhiên, bản cập nhật Windows 11 24H2 hiện đang gặp một số vấn đề, nên tốt nhất nên tiếp tục sử dụng phiên bản 23H2.
Các lỗ hổng bảo mật nghiêm trọng trên Windows
Microsoft xác nhận hai lỗ hổng bảo mật Windows đang bị khai thác: CVE-2024-43451 là lỗ hổng giả mạo trong nền tảng MSHTML cũ cho phép kẻ tấn công đăng nhập với tư cách người dùng, và CVE-2024-49039 cho phép mã độc thoát khỏi vùng chứa ứng dụng và gây ra thiệt hại (ít nhất là ở mức độ hạn chế). Khi kết hợp với các lỗ hổng khác cho phép cấp quyền cao hơn, cuộc tấn công có thể gây ra hậu quả nghiêm trọng hơn.
Microsoft xếp hạng lỗ hổng RCE (thực thi mã từ xa) CVE-2024-43639 trong giao thức Kerberos là nghiêm trọng, vì kẻ tấn công có thể thực thi mã từ xa mà không cần tương tác của người dùng. Do Kerberos chạy với quyền ủy quyền cao, lỗi này có thể lây lan (mã độc có thể di chuyển từ máy chủ này sang máy chủ khác trong mạng).
Lỗ hổng RCE CVE-2024-43498 trong .NET và Visual Studio, cũng được xếp hạng nghiêm trọng, cho phép kẻ tấn công gửi yêu cầu đặc biệt đến ứng dụng web .NET dễ bị tấn công để chèn và thực thi mã.
Dịch vụ điện thoại Windows có 7 lỗ hổng đã được Microsoft vá, trong đó có 6 lỗ hổng RCE và 1 lỗ hổng EoP (nâng cao đặc quyền) có thể cấp cho kẻ tấn công quyền cao hơn.
Các lỗ hổng bảo mật Office đã được cập nhật
Microsoft đã khắc phục 8 lỗ hổng trên các sản phẩm Office, bao gồm 7 lỗ hổng RCE (5 lỗ hổng trong Excel). Lỗ hổng thứ tám là lỗ hổng SFB (vượt qua tính năng bảo mật) ảnh hưởng đến Word, cho phép vượt qua chế độ xem Office được bảo vệ bằng tài liệu Word đặc biệt.
Các lỗ hổng bảo mật SQL Server đã được cập nhật. SQL Server chiếm hơn một phần ba số lượng lỗ hổng được vá trong tháng 11, bao gồm 31 lỗ hổng RCE được xếp loại nguy cơ cao.
Trong hầu hết các trường hợp, kẻ tấn công cần kết nối hệ thống dễ bị tấn công với cơ sở dữ liệu đã được chuẩn bị, điều này khó xảy ra. Tuy nhiên, với CVE-2024-49043, người dùng nên đọc báo cáo bảo mật vì cần cập nhật trình điều khiển OLE DB và có thể cần cập nhật từ các nhà cung cấp bên thứ ba.
Tin tài trợ
-
Tài trợKhoa học
Cuối cùng cũng có ứng dụng cho phép sửa bài đăng Bluesky trên iPhone và Mac
Với hơn 24 triệu người dùng, Bluesky đang nổi lên như một đối thủ đáng gờm của X (Twitter). Tuy nhiên, ứng dụng và giao diện web của Bluesky vẫn còn thiếu nhiều tính năng hữu ích so với các nền tảng mạng xã hội khác. Skeets, ứng dụng dành cho iPhone, iPad và Mac […] -
Tài trợKhám phá
Biến máy Mac thành “cây thông Noel” với ứng dụng Festivitas
Bạn đang muốn hòa mình vào không khí lễ hội nhưng vẫn còn bận rộn với công việc? Ứng dụng macOS mới Festivitas sẽ giúp bạn trang trí màn hình máy tính Mac với những dây đèn lấp lánh, được treo từ thanh menu và chiếu sáng dock của bạn. Ý tưởng thú vị này […] -
Tài trợMobile
Realme 14x: Smartphone tầm trung với nhiều tính năng mới
Realme tiếp tục phát huy chiến lược ra mắt các mẫu smartphone tầm trung với việc chuẩn bị giới thiệu Realme 14x trong thời gian tới. Mặc dù chưa có thông báo chính thức từ hãng, một số thông tin và hình ảnh rò rỉ đã tiết lộ những đặc điểm đáng chú ý của […] -
Tài trợAI
Android tích hợp AI vào tính năng chia sẻ file, trợ năng như thế nào?
Google vừa công bố một loạt tính năng AI mới cho hệ sinh thái Android, tập trung vào khả năng truy cập, cá nhân hóa và tích hợp ứng dụng. Nâng cao trải nghiệm người dùng Phụ đề biểu cảm (Expressive Captions): Tự động tạo phụ đề nắm bắt cảm xúc và cường độ của […]
Bài viết liên quan
Cuối cùng cũng có ứng dụng cho phép sửa bài đăng Bluesky trên iPhone và Mac
Biến máy Mac thành “cây thông Noel” với ứng dụng Festivitas
OPPO Pad 3: Lựa chọn đáng giá trong phân khúc tablet tầm trung
Điều khiển nhiệt độ dễ dàng với thermostat Meross
Bí ẩn bùa hộ mệnh Ai Cập cổ 3.500 năm tuổi
Microsoft từ chối hạ thấp yêu cầu phần cứng cho Windows 11, người dùng cũ bị “bỏ rơi”?
Bê tông siêu bền 30%: Phát minh đột phá từ Đại học Purdue
Microsoft quyết tâm “cải tổ” Windows App Store
Mac mini M4 giá chỉ từ 13,9 triệu: Apple “chiều lòng” người dùng?
Gỗ phát sáng: Đột phá công nghệ mới cho vật liệu thẩm mỹ
Chip 2nm của TSMC hứa hẹn hiệu suất vượt trội
Oppo X8 Pad lộ diện: Chiếc tablet gaming đáng mong chờ
Nghiên cứu mới: Nhựa phân hủy hoàn toàn trong nước biển và đất
LGM-Aero: Công nghệ AI giúp thiết kế máy bay chỉ trong vài ngày
Tecno Megapad 11: Máy tính bảng mạnh mẽ giá rẻ
Geekom sắp ra mắt mini-PC với vi xử lý mới
HP ra mắt Chromebook Fortis giá rẻ, bền bỉ dành cho học sinh
Honor ra mắt MagicBook mới: Cặp đôi laptop đáng chú ý
Huawei thử nghiệm laptop gập không bàn phím vật lý
ĐĂNG KÝ NHẬN TIN
NGAY HÔM NAY
Đăng ký để nhận thông tin sớm nhất về những câu chuyện nóng hổi hiện nay trên thị trường, công nghệ được cung cấp hàng ngày.
Bằng cách nhấp vào “Đăng ký”, bạn chấp nhận Điều khoản dịch vụ và Chính sách quyền riêng tư của chúng tôi. Bạn có thể chọn không tham gia bất cứ lúc nào.
5
s
Nhận xét (0)