Patch Tuesday tháng 4 của Microsoft vá nhiều lỗ hổng quan trọng trong Windows và trình duyệt

16/06/2015
83
672 bài viết
Patch Tuesday tháng 4 của Microsoft vá nhiều lỗ hổng quan trọng trong Windows và trình duyệt
Bản cập nhật Patch Tuesday tháng 4/2018 của Microsoft giải quyết tổng cộng 66 lỗ hổng, gồm hơn hai chục vấn đề nghiêm trọng ảnh hưởng đến Windows và các trình duyệt web của hãng.

Dường như chưa lỗ hổng nào bị khai thác trong thực tế, nhưng một lỗ hổng leo thang đặc quyền do nhà nghiên cứu của Microsoft phát hiện đã được tiết lộ ra bên ngoài.

patch tuesday.png

Phần lớn các lỗi quan trọng ảnh hưởng đến Internet Explorer và Edge liên quan đến scripting engine và phép thực thi mã từ xa.

Một lỗ hổng thực thi mã từ xa ảnh hưởng đến VBScript engine cũng được đánh giá là nghiêm trọng. Lỗ hổng an ninh này có thể bị khai thác thông qua các trang web hoặc tài liệu độc hại. Trend Micro lưu ý rằng dù điều này tương tự như lỗi của trình duyệt, mặt bằng tấn công còn rộng hơn do khả năng khai thác bằng văn bản Office.

Một số lỗ hổng quan trọng cho phép thực thi mã từ xa cũng đã được tìm thấy trong các thành phần đồ hoạ, đặc biệt là các thư viện phông chữ và cách chúng xử lý các phông chữ nhúng.

Microsoft cũng thông báo cho khách hàng rằng Wireless Keyboard 850 của họ bị ảnh hưởng bởi một lỗ hổng vượt qua tính năng an ninh có thể bị khai thác để mô phỏng thao tác phím và gửi lệnh độc hại tới máy tính mục tiêu. Kẻ tấn công cũng có thể khai thác lỗ hổng này để đọc các thao tác phím, có thể bao gồm thông tin nhạy cảm, chẳng hạn như mật khẩu.

"Lỗ hổng này có thể cho phép kẻ tấn công tái sử dụng một khoá mã hoá AES để gửi các thao tác phím tới các thiết bị bàn phím khác hoặc để đọc các thao tác phím được gửi bởi các bàn phím khác tới các thiết bị bị ảnh hưởng. Kẻ tấn công đầu tiên phải lấy được key mã hóa AES từ thiết bị bàn phím bị ảnh hưởng. Kẻ tấn công cũng cần phải duy trì khoảng cách vật lý - trong phạm vi mạng không dây - của các thiết bị trong suốt thời gian tấn công", Microsoft cho biết.

Bản cập nhật Patch Tuesday của Adobe cập nhật tổng cộng 19 lỗ hổng trên sáu sản phẩm. Sáu lỗ hổng đã được khắc phục trong Flash Player, mà Microsoft cũng đã khắc phục trong Windows.

Đầu tháng này, Microsoft đã công bố phát hành bản cập nhật cho Malware Protection Engine, vá một lỗ hổng quan trọng có thể đã bị khai thác để kiểm soát một hệ thống bằng cách đặt một tệp tin độc hại vào vị trí mà nó sẽ được quét.

Theo Security Week
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên