Zero-day đầu tiên, CVE-2023-36884, là lỗi thực thi mã từ xa trong thành phần Windows Search. Lỗ hổng này cho phép tin tặc tạo các tài liệu Microsoft Office tự tạo có thể bỏ qua tính năng bảo mật Mark of the Web (MoTW) khiến các tệp tải về từ Internet không bị gắn cờ cảnh báo tạo điều kiện để thực thi mã từ xa.
Zero-day thứ hai, CVE-2023-38180, là lỗ hổng từ chối dịch vụ trong bộ công cụ phát triển phần mềm .NET và Visual Studio. Lỗ hổng này có thể bị kẻ tấn công khai thác để làm sập hệ thống của nạn nhân, ngăn cản họ sử dụng phần mềm.
Microsoft không cung cấp thêm thông tin chi tiết về cách hacker khai thác CVE-2023-38180 cũng như người đã phát hiện ra lỗ hổng.
Ngoài ra, Microsoft còn vá 68 lỗ hổng nghiêm trọng và 12 lỗ hổng quan trọng khác trong các sản phẩm và dịch vụ của mình. Các lỗ hổng này ảnh hưởng đến nhiều sản phẩm của Microsoft bao gồm Windows, Office, Teams và Azure.
Số lượng lỗi trong mỗi loại lỗ hổng được liệt kê cụ thể:
- 18 lỗ hổng leo thang đặc quyền
- 3 lỗ hổng vượt qua tính năng bảo mật
- 23 lỗ hổng thực thi mã từ xa
- 10 lỗ hổng tiết lộ thông tin
- 8 lỗ hổng từ chối dịch vụ
- 12 lỗ hổng giả mạo
Những lỗ hổng này không bao gồm 12 lỗi Microsoft Edge (Chromium) đã được khắc phục vào đầu tháng này.
Người dùng được khuyến nghị cài đặt các bản cập nhật Patch Tuesday tháng 8 càng sớm càng tốt để bảo vệ hệ thống của họ khỏi bị tấn công.
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment