[Microsoft] “Patch Tuesday” tháng 11 vá lỗ hổng zero-day nghiêm trọng trong Internet Explorer

Microsoft Patch Tuesday tháng 11

Microsoft mới đây đã chính thức phát hành bản cập nhật ‘Patch Tuesday’ cho tháng 11. Bản vá lần này bao gồm bản sửa lỗi cho một lỗ hổng zero-day nghiêm trọng ảnh hưởng đến Internet Explorer và 73 lỗi khác.

Lỗ hổng zero-day trong Internet Explorer

Các nhà nghiên cứu đã phát hiện ra một lỗ hổng zero-day trong Internet Explorer đang bị các hacker khai thác tích cực.

Lỗ hổng tồn tại trong khâu xử lý các đối tượng thuộc bộ nhớ của bộ máy script. Khi được kích hoạt, lỗ hổng sẽ cho phép kẻ tấn công thực thi các mã từ xa tùy ý trên hệ thống đích trong bối cảnh của người dùng hiện tại. Điều này đặc biệt nguy hiểm nếu người dùng hiện tại có quyền truy cập quản trị viên vào hệ thống.

Giải thích về lỗ hổng nghiêm trọng mang số hiệu CVE-2019-1429, Microsoft cho biết trong kịch bản tấn công dựa trên web, các hacker có thể kiểm soát một trang web được thiết kế đặc biệt để khai thác lỗ hổng thông qua Internet Explorer và sau đó thuyết phục người dùng truy cập vào trang web.

Bên cạnh đó, kẻ tấn công cũng có thể nhúng điều khiển ActiveX được đánh dấu là “an toàn để khởi tạo” (safe for initialization) trong một ứng dụng hoặc một tài liệu Microsoft Office bất kỳ có lưu trữ công cụ kết xuất IE. Ngoài ra, kẻ tấn công cũng có thể lợi dụng các trang web đã bị xâm nhập hoặc các trang web quản lý nội dung của người dùng để triển khai các hoạt động khai thác lỗ hổng.  

Điều đáng lo ngại là trước khi Microsoft phát hành bản vá chính thức cho lỗ hổng này thì các hacker đã triển khai các hoạt động khai thác trên diện rộng.

>> Lỗ hổng bảo mật và bài toán của doanh nghiệp

Các bản vá bảo mật cho các lỗ hổng khác

Ngoài lỗ hổng zero-day được đề cập ở trên, Microsoft cũng cung cấp bản sửa lỗi cho 12 lỗ hổng bảo mật “nghiêm trọng” khác trong bản ‘Patch Tuesday’ tháng này. Tất cả những lỗ hổng này đều có thể cho phép các hacker khai thác để thực thi mã từ xa.

Microsoft cũng cung cấp bản vá cho 61 lỗ hổng được xếp hạng “quan trọng”. Nếu bị khai thác, những lỗ hổng này có thể dẫn đến các cuộc tấn công lừa đảo, từ chối dịch vụ, tiết lộ thông tin, leo thang đặc quyền, bypass tính năng bảo mật và thực thi mã từ xa.

Nhìn chung, với bản cập nhật mới này, Microsoft đã vá tổng cộng 74 lỗi khác nhau ảnh hưởng đến Microsoft Windows, Microsoft Edge, Internet Explorer, Microsoft Office và Microsoft Office Services và Web Apps, Microsoft Exchange Server, ChakraCore, Visual Studio, Open Source Software và Azure Stack.

LHN