Bạn có thể bị hack chỉ bằng việc nhấp vào một liên kết độc hại hoặc truy cập website? – Tât nhiên là có thể.

Microsoft đã phát hành bản cập nhật bảo mật Patch Tuesday vào tháng 4, nhằm giải quyết nhiều lỗ hổng nghiêm trọng trong hệ điều hành Windows và các sản phẩm khác, trong đó có 5 lỗ hổng có thể cho phép tin tặc tấn công máy tính của bạn bằng cách lừa bạn truy cập website.

Truy cập website có thể khiến máy tính Windows bị hack

Microsoft đã vá 5 lỗ hổng nghiêm trọng nằm trong Windows Graphics Component, xuất hiện do việc xử lý không đúng cách các phông chữ nhúng bởi thư viện font của Windows. Những lỗ hổng này gây ảnh hưởng đến tất cả các phiên bản hệ điều hành Windows cho đến nay, bao gồm Windows 10 / 8.1 / RT 8.1 / 7, Windows Server 2008 / 2012/2016.

Một kẻ tấn công có thể khai thác những lỗ hổng này bằng cách lừa người dùng mở một tệp tin độc hại hoặc truy cập website được đặc biệt tạo ra với phông chữ độc hại và nếu người dùng này mở nó trong một trình duyệt web thì sẽ chuyển quyền điều khiển hệ thống của họ cho kẻ tấn công.

Tất cả năm lỗ hổng trong Windows Microsoft Graphics đã được phát hiện và tiết lộ một cách có trách nhiệm bởi Hossein Lotfi – một nhà nghiên cứu bảo mật của Flexera Software.

  • CVE-2018-1010
  • CVE-2018-1012
  • CVE-2018-1013
  • CVE-2018-1015
  • CVE-2018-1016

Windows Graphics của Microsoft cũng bị ảnh hưởng bởi lỗ hổng từ chối dịch vụ mà có thể cho phép kẻ tấn công dừng hoạt động của hệ thống mục tiêu. Lỗ hổng này xuất hiện do cách thức hoạt động của Windows trong quá trình xử lý các đối tượng trong bộ nhớ.

Microsoft cũng đã tiết lộ chi tiết về một lỗ hổng RCE nghiêm trọng (CVE-2018-1004) nằm trong Windows VBScript Engine và gây ảnh hưởng đến tất cả các phiên bản của Windows.

Microsoft giải thích: “Trong một kịch bản tấn công dựa trên web, kẻ tấn công có thể lưu trữ một website được thiết kế đặc biệt để khai thác lỗ hổng thông qua Internet Explorer và sau đó lừa người dùng truy cập trang web”.

“Một kẻ tấn công cũng có thể nhúng một điều khiển ActiveX được đánh dấu là ‘an toàn để khởi tạo’ trong một ứng dụng hoặc tài liệu Microsoft Office lưu trữ động cơ trình duyệt IE.”

Bên cạnh đó, Microsoft cũng vá nhiều lỗ hổng trong việc thực hiện mã lệnh từ xa trong Microsoft Office và Microsoft Excel. Những lỗ hổng này có thể cho phép kẻ tấn công kiểm soát các hệ thống mục tiêu.

Bản cập nhật bảo mật cũng bao gồm các bản vá cho sáu lỗ hổng trong Adobe Flash Player, ba trong số đó được đánh giá là nghiêm trọng.

Các lỗ hổng CVE còn lại được đề cập trong Windows, Microsoft Office, Internet Explorer, Microsoft Edge, ChakraCore, Công cụ Bảo vệ Malware, Microsoft Visual Studio và Microsoft Azure IoT SDK cùng với lỗi trong Adobe Flash Player.

Người dùng nên sử dụng các bản vá lỗi bảo mật càng sớm càng tốt để ngăn tin tặc và bọn tội phạm mạng chiếm quyền kiểm soát máy tính của họ.

Để cài đặt bản cập nhật bảo mật, bạn chỉ cần vào Cài đặt → Cập nhật & Bảo mật → Cập nhật Windows → Kiểm tra các bản cập nhật.

Bình luận