Ngày 14 tháng 12 năm 2022Ravie LakshmananQuản lý bản vá / Lỗ hổng bảo mật
Gã khổng lồ công nghệ Microsoft đã phát hành bộ cập nhật bảo mật hàng tháng cuối cùng cho năm 2022 với các bản sửa lỗi cho 49 lỗ hổng trên các sản phẩm phần mềm của mình.
Trong số 49 lỗi, 6 lỗi được xếp hạng Nghiêm trọng, 40 lỗi được xếp hạng Quan trọng và 3 lỗi được xếp hạng Trung bình ở mức độ nghiêm trọng. Các bản cập nhật bổ sung cho 24 lỗ hổng đã được giải quyết trong trình duyệt Edge dựa trên Chromium kể từ đầu tháng.
Bản vá thứ ba của tháng 12 cắm hai lỗ hổng zero-day, một lỗ hổng được khai thác tích cực và một lỗ hổng khác được liệt kê là tiết lộ công khai tại thời điểm phát hành.
Vấn đề trước liên quan đến CVE-2022-44698 (điểm CVSS: 5,4), một trong ba vấn đề bỏ qua bảo mật trong windows SmartScreen có thể bị kẻ xấu khai thác để trốn tránh các biện pháp bảo vệ đánh dấu trang web (MotW).
Cần lưu ý rằng vấn đề này, cùng với CVE-2022-41091 (điểm CVSS: 5,4), đã được quan sát thấy đang bị các phần tử ransomware Magniber khai thác để phân phối các tệp JavaScript giả mạo trong kho lưu trữ ZIP.
Greg Wiseman của Rapid7 cho biết: “Nó cho phép kẻ tấn công tạo ra các tài liệu không được gắn thẻ ‘Mark of the Web' của Microsoft mặc dù được tải xuống từ các trang web không đáng tin cậy. “Điều này có nghĩa là không có Chế độ xem được bảo vệ cho các tài liệu Microsoft Office, khiến người dùng dễ dàng thực hiện những việc sơ sài như thực thi các macro độc hại.”
Được tiết lộ công khai, nhưng không được khai thác tích cực, là CVE-2022-44710 (điểm CVSS: 7,8), một lỗ hổng nâng cao đặc quyền trong Nhân đồ họa DirectX có thể cho phép kẻ thù giành được các đặc quyền HỆ THỐNG.
“Khai thác thành công lỗ hổng này yêu cầu kẻ tấn công giành chiến thắng trong một cuộc đua”, Microsoft chỉ ra trong một lời khuyên.
Microsoft cũng đã vá nhiều lỗi thực thi mã từ xa trong Microsoft Dynamics NAV, Microsoft SharePoint Server, PowerShell, Giao thức đường hầm ổ cắm bảo mật Windows (SSTP), .NET Framework, Danh bạ và Terminal.
Hơn nữa, bản cập nhật cũng giải quyết 11 lỗ hổng thực thi mã từ xa trong Microsoft Office Graphics, OneNote và Visio, tất cả đều được xếp hạng 7,8 trong hệ thống tính điểm CVSS.
Hai trong số 19 lỗ hổng nâng cao đặc quyền đã được khắc phục trong tháng này bao gồm các bản sửa lỗi cho thành phần Windows Print Spooler (CVE-2022-44678 và CVE-2022-44681, điểm CVSS: 7,8), tiếp tục một loạt các bản vá ổn định được công ty phát hành trong suốt năm qua.
Cuối cùng nhưng không kém phần quan trọng, Microsoft đã gán thẻ “Khả năng khai thác cao hơn” cho lỗ hổng thực thi mã từ xa PowerShell (CVE-2022-41076, điểm CVSS: 8.5) và lỗ hổng leo thang đặc quyền Windows Sysmon (CVE-2022-44704, điểm CVSS: 7.8), điều quan trọng là người dùng phải áp dụng các bản cập nhật để giảm thiểu các mối đe dọa tiềm ẩn.
Bản vá phần mềm từ các nhà cung cấp khác
Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được phát hành bởi các nhà cung cấp khác trong hai tuần qua để khắc phục một số lỗ hổng, bao gồm —
