Microsoft đã phát hành 4 bản vá bảo mật

Tóm lại

Microsoft đã phát hành vá đầu tiên hôm thứ ba cho năm 2017, và nó là một trong các phiên bản vá bao giờ hàng tháng nhỏ nhất cho các công ty, chỉ có 4 bản cập nhật bảo mật để giải quyết các lỗ hổng trong hệ điều hành Windows cũng như Adobe Flash Player.

Trong khi đó, Adobe cũng đã phát hành bản vá lỗi cho hơn 30 lỗ hổng bảo mật trong Flash Player và Acrobat / Reader cho Windows, MacOS và Linux phiên bản desktop.

Theo tư vấn của Microsoft, chỉ có một bản tin bảo mật được đánh giá nghiêm trọng, trong khi 3 lỗ hổng khác là quan trọng. Các bản giải quyết các lỗ hổng bảo mật trong Microsoft’s Windows, Windows Server, Office, Edge và Flash Player.

Microsoft đã phát hành 4 bản vá bảo mật

Các chỉ bản tin bảo mật được đánh giá là nghiêm trọng dành riêng cho Adobe Flash Player, mà Microsoft phân phối các bản vá lỗi bảo mật thông qua Windows Update. Bản tin bảo mật khác mà các địa chỉ sai sót trong sản phẩm của Microsoft như sau:

Bulletin 1 — MS17-001

Bản cập nhật bảo mật này giải quyết chỉ là 1 lỗ hổng trong trình duyệt Microsoft Edge. Microsoft đánh giá bản tin này là quan trọng.

Lỗ hổng có thể cho phép một kẻ tấn có thể nâng quyền công truy cập cao hơn bằng cách lừa người dùng xem một trang web đặc biệt gây crafted người sử dụng Microsoft Edge.

Lỗ hổng nâng quyền này tồn tại trong cross-domain policies của Microsoft Edge, mà có thể cho phép “kẻ tấn công để truy cập thông tin từ một tên miền và tiêm nó vào tên miền khác”, Microsoft cho biết.

Bản cập nhật sẽ được tung ra cho phiên bản Windows 10 và Windows Server 2016.

Bulletin 2 — MS17-002

Bản tin bảo mật này nói đến bản vá một lỗ hổng bảo mật duy nhất trong Microsoft Office – lỗ hổng nói đến một vấn đề can thiệp bộ nhớ cho phép kẻ tấn công để thực hiện thực thi mã từ xa (RCE – remote code execution) trong Microsoft Office 2016 và SharePoint Enterprise Server 2016.

Lỗ hổng này cho phép một tập tin Word đặc biệt gây crafted để kiểm soát các máy tính mục tiêu với quyền truy cập của người dùng hiện tại.

Người dùng đã đăng nhập với quyền người càng thấp trên hệ thống thì càng ít bị ảnh hưởng hơn so với những người dùng hoạt động với quyền quản trị, chẳng hạn như một số tài khoản home và người sử dụng máy chủ.

Bulletin 3 — MS17-003

Bản tin bảo mật này được đánh giá là nghiêm trọng và giải quyết cho 12 lỗ hổng bảo mật trong Adobe Flash Player cho tất cả các phiên bản của Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10, và Windows Server 2016.

Các bản vá bảo mật sẽ được tự động cập nhật cho người dùng Windows chạy Microsoft Edge hoặc Internet Explorer 11.

Bulletin 4 — MS17-004

Bản cập nhật bảo mật này, cũng được đánh giá là quan trọng, giải quyết vấn đề lỗ hổng liên quan đén tấn công từ chối dịch vụ (DoS) trong Local Security Authority Subsystem Service (LSASS) cho Windows Vista, Windows 7, Windows Server 2008 và Windows Server 2008 R2.

Lỗ hổng (CVE-2017-0004) nằm trong LSASS để xử lý yêu cầu xác thực, có thể bị khai thác để khởi động lại hệ thống bằng cách gửi một yêu cầu xác thực đặc biệt crafted để hệ thống nhắm mục tiêu hoặc máy chủ.

Adobe Security Patch Update

Có tổng cộng 13 lỗ hổng bảo mật đã được giải quyết trong Flash Player, trong khi không ai trong số các lỗ hổng đã được tích cực khai thác trong tự nhiên.

Các bản cập nhật Flash Player cho cả hệ thống Windows và MacOS đã được đánh giá rất nghiêm trọng, nếu như khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công thực thi mã từ xa trên hệ thống đích. Tuy nhiên, người dùng Linux có nguy cơ thấp hơn để tấn công.

Bản cập nhật cho Adobe Acrobat and Reader giải quyết 29 lỗ hổng, trong số đó có lỗ hổng  tực thi mã từ xa (RCE) cho cả Windows và MacOS.

Người dùng và các quản trị viên IT được khuyến khích mạnh mẽ để áp dụng bản vá cho cả Windows và Adobe càng sớm càng tốt để tránh xa các tin tặc và tội phạm mạng từ việc kiểm soát máy tính của bạn.

Lưu ý: Quá trình cập nhật bản quá yêu cầu khởi động lại máy tính, vì vậy người dùng nên chú ý điều này. Các bản vá lỗi sẽ được thực hiện trước khi bắt đầu quá trình khởi động.

thehackernews