Patch Tuesday của Microsoft vá 2 lỗi 0-day và 126 lỗ hổng khác

[Sugi_b3o]

Đến hẹn lại lên, trong Patch Tuesday tháng Tư, Microsoft đã giải quyết tổng cộng 128 lỗ hổng trong danh mục sản phẩm phần mềm của hãng, bao gồm Windows, Defender, Office, Exchange Server, Visual Studio và Print Spooler.

Trong 128 lỗi đã sửa có 10 lỗi được xếp hạng "nghiêm trọng", 115 lỗi "quan trọng" và 3 lỗi "trung bình". Đặc biệt phải kể đến 2 lỗi 0-day:

• CVE-2022-24521, điểm CVSS: 7.8 đang bị khai thác trong thực tế, liên quan đến leo thang đặc quyền trong Windows Common Log File System (CLFS) do các nhà nghiên cứu Adam Podlosky và Amir Bazine của Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) và CrowdStrike báo cáo.
• CVE-2022-26904, điểm CVSS: 7.0 cũng liên quan đến trường hợp leo thang đặc quyền trong Dịch vụ hồ sơ người dùng Windows.

Bản cập nhật còn bổ sung cho 26 lỗi khác đã được giải quyết trong trình duyệt Edge dựa trên Chromium kể từ đầu tháng.

Các lỗi nghiêm trọng khác cần lưu ý bao gồm một số lỗi thực thi mã từ xa trong RPC Runtime Library (CVE-2022-26809, điểm CVSS: 9.8), Windows Network File System (CVE-2022-24491 và CVE-2022-24497, điểm CVSS: 9.8), Windows Server Service (CVE-2022-24541), Windows SMB (CVE-2022-24500) và Microsoft Dynamics 365 (CVE-2022-23259).

Microsoft cũng đã vá thêm 18 lỗ hổng trong Windows DNS Server, 1 lỗ hổng tiết lộ thông tin và 17 lỗ hổng thực thi mã từ xa, tất cả đều được nhà nghiên cứu Yuki Chen báo cáo. Ngoài ra, Patch Tuesday tháng 4 cũng đã khắc phục 15 lỗi nâng cao đặc quyền trong thành phần Windows Print Spooler.

Bản vá phần mềm từ các nhà cung cấp khác​

Ngoài Microsoft, các nhà cung cấp khác cũng phát hành các bản cập nhật để khắc phục một số lỗ hổng bao gồm:

• Adobe
• Android
• Apache Struts 2
• Cisco Systems
• Citrix
• Dell
• Google Chrome
• HP Teradici PCoIP Client
• Juniper Networks
• Các bản phân phối Oracle Linux, Red Hat và SUSE
• Mozilla Firefox, Firefox ESR, and Thunderbird
• SAP
• Schneider Electric
• Siemens
• VMware

Theo The Hacker News​