Microsoft tung bản vá tháng 12 khắc phục 67 lỗi trong đó có 6 lỗi zero-day

[WhiteHat News #ID:3333]

Microsoft vừa tung bản vá tháng 12 cho tổng cộng 67 lỗ hổng, trong đó có 6 lỗi zero-day. Các bản cập nhật này bao gồm bản sửa lỗi cho lỗ hổng Windows Installer bị khai thác tích cực được sử dụng trong các chiến dịch phát tán phần mềm độc hại.
Microsoft đã sửa 55 lỗ hổng bảo mật (không bao gồm Microsoft Edge) với bản cập nhật hôm nay, với 7 lỗ hổng được phân loại là nghiêm trọng và 60 lỗ hổng là quan trọng.

Các lỗ hổng gồm:

• 21 lỗ hổng leo thang đặc quyền
• 26 lỗ hổng thực thi mã từ xa
• 10 lỗ hổng có thể gây lộ lọt thông tin
• 3 lỗ hổng từ chối dịch vụ
• 7 lỗ hổng giả mạo

Trong 6 lỗi zero-day được khắc phục, có 3 lỗi đã bị khai thác. Microsoft phân loại lỗ hổng là zero-day nếu nó được tiết lộ công khai hoặc bị khai thác tích cực mà chưa có bản sửa lỗi chính thức.

Lỗ hổng zero-day của Windows AppX Installer được khai thác tích cực có tên CVE-2021-43890, được sử dụng trong các chiến dịch phát tán phần mềm độc hại khác nhau, bao gồm Emotet, TrickBot và BazarLoader.

Microsoft cũng đã sửa năm lỗ hổng zero-day chưa bị khai thác trên thực tế gồm:

CVE-2021-43240 - NTFS Set Short Name Elevation of Privilege Vulnerability

CVE-2021-41333 - Windows Print Spooler Elevation of Privilege Vulnerability

CVE-2021-43880 - Windows Mobile Device Management Elevation of Privilege Vulnerability

CVE-2021-43883 - Windows Installer Elevation of Privilege Vulnerability

CVE-2021-43893 - Windows Encrypting File System (EFS) Elevation of Privilege Vulnerability

Theo: Bleeping Computer​