Ngày 14 tháng 6 năm 2023Ravie LakshmananBản vá thứ ba / Lỗ hổng bảo mật
Microsoft đã triển khai các bản sửa lỗi cho hệ điều hành Windows và các thành phần phần mềm khác để khắc phục các thiếu sót bảo mật lớn như một phần của bản cập nhật Bản vá Thứ Ba cho tháng 6 năm 2023.
Trong số 73 lỗi, 6 lỗi được xếp hạng Nghiêm trọng, 63 lỗi được xếp hạng Quan trọng, 2 lỗi được xếp hạng Trung bình và 1 lỗi được xếp hạng Mức độ nghiêm trọng thấp. Điều này cũng bao gồm ba vấn đề mà gã khổng lồ công nghệ đã giải quyết trong trình duyệt Edge dựa trên Chromium của mình.
Điều đáng chú ý là Microsoft cũng đã loại bỏ 26 lỗ hổng khác trong Edge – tất cả chúng đều bắt nguồn từ chính Chromium – kể từ khi phát hành bản cập nhật May Patch Tuesday. Điều này bao gồm CVE-2023-3079, một lỗi zero-day mà Google tiết lộ là đang bị khai thác tích cực vào tuần trước.
Các bản cập nhật tháng 6 năm 2023 cũng đánh dấu lần đầu tiên sau vài tháng không có bất kỳ lỗ hổng zero-day nào trong các sản phẩm của Microsoft đã được biết đến công khai hoặc đang bị tấn công tích cực tại thời điểm phát hành.
Đứng đầu danh sách các bản sửa lỗi là CVE-2023-29357 (điểm CVSS: 9,8), một lỗ hổng leo thang đặc quyền trong SharePoint Server mà kẻ tấn công có thể khai thác để giành được đặc quyền của quản trị viên.
Microsoft cho biết: “Kẻ tấn công có quyền truy cập vào mã thông báo xác thực JWT giả mạo có thể sử dụng chúng để thực hiện một cuộc tấn công mạng bỏ qua xác thực và cho phép chúng có quyền truy cập vào các đặc quyền của người dùng đã xác thực”. “Kẻ tấn công không cần đặc quyền cũng như người dùng không cần thực hiện bất kỳ hành động nào.”
Redmond cũng đã vá ba lỗi thực thi mã từ xa nghiêm trọng (CVE-2023-29363, CVE-2023-32014 và CVE-2023-32015, điểm CVSS: 9,8) trong Windows Pragmatic General Multicast (PGM) có thể được vũ khí hóa thành ” đạt được thực thi mã từ xa và cố gắng kích hoạt mã độc.”
Microsoft trước đây đã giải quyết một lỗ hổng tương tự trong cùng một thành phần (CVE-2023-28250, điểm CVSS: 9,8), một giao thức được thiết kế để phân phối các gói giữa nhiều thành viên mạng một cách đáng tin cậy, vào tháng 4 năm 2023.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
Gã khổng lồ công nghệ cũng đã giải quyết hai lỗi thực thi mã từ xa ảnh hưởng đến Exchange Server (CVE-2023-28310 và CVE-2023-32031) có thể cho phép kẻ tấn công được xác thực thực thi mã từ xa trên các cài đặt bị ảnh hưởng.
Bản vá phần mềm từ các nhà cung cấp khác
Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được phát hành bởi các nhà cung cấp khác trong vài tuần qua để khắc phục một số lỗ hổng, bao gồm —
