🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND thị trấn Quốc Oai, Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Sài Sơn, Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Phượng Cách, Hà Nội đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

Microsoft phát hành Patch Tuesday đầu tiên trong năm 2024

10/01/2024

Hôm qua, Microsoft đã phát hành bản cập nhật hàng tháng, Patch Tuesday, của tháng 1 năm 2024 để giải quyết 49 lỗ hổng, bao gồm 12 lỗ hổng thực thi mã từ xa.

Trong số đó có hai lỗ hổng được phân loại là nghiêm trọng, bao gồm lỗ hổng cho phép bỏ qua tính năng bảo mật Windows Kerberos và lỗ hổng RCE trong Windows Hyper-V.

Số lượng lỗ hổng theo từng loại là:

- 10 lỗ hổng cho phép leo thang đặc quyền

- 7 lỗ hổng cho phép bỏ qua tính năng bảo mật

- 12 lỗ hổng thực thi mã từ xa

- 11 lỗ hổng gây lộ lọt thông tin

- 6 lỗ hổng cho phép tấn công từ chối dịch vụ

- 3 lỗ hổng cho phép tấn công giả mạo (Spoofing)

Tổng số 49 lỗi này không bao gồm 4 lỗ hổng trong Microsoft Edge được vá vào ngày 5/1.

Không có lỗ hổng nào bị khai thác trong thực tế hoặc được tiết lộ công khai trong tháng này.

Một số lỗ hổng đáng chú ý

Microsoft đã giải quyết một lỗ hổng thực thi mã từ xa trong Office, CVE-2024-20677, cho phép các tác nhân đe dọa tạo các tài liệu Office có chứa tệp mô hình FBX 3D độc hại để thực thi mã từ xa.

Bản tin bảo mật của Microsoft giải thích: “Một lỗ hổng bảo mật tồn tại trong FBX có thể dẫn đến việc thực thi mã từ xa. Lỗ hổng này đã được giải quyết bằng cách vô hiệu hóa khả năng chèn tệp FBX trong Word, Excel, PowerPoint và Outlook dành cho Windows và Mac”.

"Các phiên bản Office đã bật tính năng này, bao gồm Office 2019, Office 2021, Office LTSC cho Mac 2021 và Microsoft 365, sẽ không còn quyền truy cập vào tính năng này nữa."

"Các mô hình 3D trong tài liệu Office đã được chèn trước đó từ một tệp FBX vẫn sẽ hoạt động bình thường trừ khi tùy chọn Link to File (Liên kết tới tệp) đã được chọn tại thời điểm chèn."

Bản cập nhật lần này cũng giải quyết một lỗi nghiêm trọng của Windows Kerberos, CVE-2024-20674, cho phép kẻ tấn công vượt qua tính năng xác thực.

“Kẻ tấn công không cần xác thực có thể khai thác lỗ hổng này bằng cách thiết lập một cuộc tấn công trung gian (MITM) hoặc sử dụng kỹ thuật giả mạo mạng cục bộ khác, sau đó gửi tin nhắn Kerberos độc hại đến máy khách nạn nhân để giả mạo là một máy chủ xác thực Kerberos,” bản tin bảo mật từ công ty cho biết.

Bạn có thể xem mô tả đầy đủ về từng lỗ hổng bảo mật và các hệ thống bị ảnh hưởng tại đây.

Ngoài Microsoft, nhiều nhà cung cấp khác cũng đã phát hành các bản cập nhật hoặc tư vấn bảo mật vào tháng 1 năm 2023, bao gồm Cisco, Google, Ivanti, SAP,…

Để giảm thiểu các nguy cơ bị tấn công, người dùng nên thường xuyên kiểm tra và nhanh chóng cập nhật bản vá cho các sản phẩm đang sử dụng ngay khi chúng có sẵn.

Nguồn: bleepingcomputer.com.

scrolltop