Hôm qua, Microsoft đã phát hành bản cập nhật bảo mật hằng tháng Patch Tuesday cuối cùng của năm 2023, bao gồm các bản vá cho tổng cộng 34 lỗ hổng, một lỗ hổng chưa được vá đã được tiết lộ trước đó trong CPU AMD.
Trong số đó, Microsoft chỉ đánh giá 4 lỗ hổng là nghiêm trọng, bao gồm một lỗ hổng cho phép tấn công Spoofing trong Power Platform, hai lỗ hổng cho phép thực thi mã từ xa (RCE) trong tính năng Internet Connection Sharing và một lỗ hổng RCE khác trong MSHTML Platform của Windows.
Số lượng lỗ hổng theo từng loại là:
- 10 lỗ hổng cho phép leo thang đặc quyền
- 8 lỗ hổng thực thi mã từ xa
- 6 lỗ hổng dẫn đến tiết lộ thông tin
- 5 lỗ hổng từ chối dịch vụ
- 5 lỗ hổng Spoofing
Danh sách này không bao gồm 8 lỗ hổng Microsoft Edge được vá vào ngày 7 tháng 12.
Khắc phục lỗi zero-day đã được tiết lộ công khai
Bản cập nhật của tháng này cũng đã giải quyết một lỗ hổng zero-day của AMD được tiết lộ trước đó mà chưa được vá - 'CVE-2023-20588 - AMD: CVE-2023-20588 AMD Speculative Leaks', có khả năng gây rò rỉ dữ liệu nhạy cảm.
Lỗ hổng đã được tiết lộ vào tháng 8 năm 2023 và AMD không cung cấp bất kỳ bản sửa lỗi nào ngoài việc đề xuất các biện pháp giảm thiểu.
Trong tư vấn bảo mật dành cho CVE-2023-20588, AMD cho biết: "Đối với các sản phẩm bị ảnh hưởng, AMD khuyến nghị tuân thủ các phương pháp phát triển phần mềm tốt nhất".
"Các nhà phát triển có thể giảm thiểu vấn đề này bằng cách đảm bảo rằng không có dữ liệu nhạy cảm (privileged data) nào được sử dụng trong các hoạt động phân chia trước khi thay đổi phạm vi quyền..."
Là một phần của bản cập nhật Patch Tuesday tháng 12, Microsoft đã phát hành bản cập nhật bảo mật giải quyết lỗi này trong các bộ xử lý AMD bị ảnh hưởng.
Bạn có thể xem mô tả đầy đủ về từng lỗ hổng bảo mật và hệ thống bị ảnh hưởng tại đây.
Ngoài Microsoft, nhiều nhà cung cấp khác cũng đã phát hành các bản cập nhật hoặc tư vấn bảo mật để khắc phục lỗ hổng trong các sản phẩm của họ vào tháng 12 này, bao gồm Atlassian, Apple, Cisco, Google, SAP, Vmware, WordPress,…
Để giảm thiểu các nguy cơ bị tấn công, người dùng nên thường xuyên kiểm tra và nhanh chóng cập nhật bản vá cho các sản phẩm đang sử dụng ngay khi chúng có sẵn.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Apple đã phát hành các bản cập nhật bảo mật khẩn cấp để vá hai lỗ hổng zero-day đang bị khai thác tích cực trên các iPhone cũ hơn cũng như một số mẫu Apple Watch và Apple TV.
Tín nhiệm mạng | WordPress đã phát hành phiên bản 6.4.2 nhằm giải quyết lỗ hổng có thể được kết hợp với một lỗ hổng khác để cho phép kẻ tấn công thực thi mã PHP tùy ý trên trang web mục tiêu
Tín nhiệm mạng | Một lỗ hổng Bluetooth nghiêm trọng đã được phát hiện, có thể bị các tác nhân đe dọa khai thác để chiếm quyền kiểm soát các thiết bị Android, Linux, macOS và iOS.
Tín nhiệm mạng | Atlassian đã phát hành các bản cập nhật bảo mật để giải quyết bốn lỗ hổng nghiêm trọng trong phần mềm của họ, nếu bị khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
Tín nhiệm mạng | Các tác nhân đe dọa có thể lợi dụng Dịch vụ Web Services Security Token của Amazon (AWS STS) để xâm nhập vào tài khoản cloud
Tín nhiệm mạng | Hơn chục ứng dụng cho vay tiền độc hại, được gọi chung là SpyLoan, đã có hơn 12 triệu lần tải xuống trong năm nay từ Google Play
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
