Quan trọng RCE lỗ hổng trong Windows có vá của Microsoft

Computer Security News

Hôm qua, Microsoft phát hành của nó Cập Nhật bảo mật tháng sáu vá tổng cộng 50 lỗ hổng. Trong số này, có một chục lỗi RCE quan trọng mà ảnh hưởng đến Windows cũng như các trình duyệt web của mình.

Mặc dù thực tế rằng các lỗ hổng được vá trong tháng này đã không được khai thác cho mục đích độc hại, một trong số họ đã được công khai tiết lộ trước khi phát hành bản vá bảo mật mới nhất.

Các lỗ hổng bảo mật tiết lộ là một vấn đề sử dụng sau khi-miễn phí cho phép tin tặc thực thi mã tùy ý nếu họ có thể thuyết phục người sử dụng nhắm mục tiêu để mở một trang web độc hại hoặc tập tin. Các lỗ hổng được báo cáo cho Microsoft qua Trend Micro Zero Ngày sáng kiến (ZDI), mà tiết lộ một số chi tiết công khai sau khi hết hạn của thời hạn 120 ngày.

Trong số các lỗ hổng nghiêm trọng có CVE-2018-8225, ảnh hưởng đến thành phần Windows DNS DNSAPI.dll. Tin tặc có thể tận dụng lỗ hổng này để thực thi mã tùy ý trong bối cảnh các trương mục hệ thống cục bộ bằng cách sử dụng một máy chủ DNS độc hại để gửi đặc biệt crafted DNS phản ứng vào hệ thống nhắm mục tiêu.

CVE-2018-8251 là một quan trọng RCE lỗ hổng, mà ảnh hưởng đến các thành phần cửa sổ phương tiện truyền thông nền tảng. Theo Microsoft, tin tặc có thể khai thác lỗ hổng này để kiểm soát hoàn toàn của một hệ thống bằng cách nhắm mục tiêu người dùng mở một trang web độc hại hoặc tập tin.

Một lỗ hổng bảo mật ảnh hưởng đến chồng giao thức HTTP (Http.sys) cho phép thực thi mã từ xa bằng cách gửi một gói tin đặc biệt crafted để các máy chủ được nhắm mục tiêu. Mặc dù được coi là quan trọng, Microsoft tin rằng việc khai thác các lỗ hổng “ít có khả năng.”

Các bản vá bảo mật tháng sáu cũng giải quyết một lỗ hổng leo thang đặc quyền mà ảnh hưởng đến trợ lý giọng nói Cortana. Các lỗ hổng đã được tiết lộ trước đó trong năm nay và đã được phân loại như là “quan trọng” vì khai thác nó đòi hỏi thể chất hoặc truy cập vào giao diện điều khiển và hệ thống nhắm mục tiêu cần có Cortana được kích hoạt.

Ngoài các bản cập nhật mới nhất, Microsoft phát hành một số mitigations cho 4 biến thể của các lỗ hổng khủng hoảng Spectre/.


Leave a Reply

Your email address will not be published. Required fields are marked *