Microsoft đã chính thức phát hành các bản sửa lỗi cho 112 lỗ hổng bảo mật mới được phát hiện như một phần của Bản vá thứ Ba tháng 11 năm 2020, bao gồm cả lỗ hổng zero-day được khai thác tích cực do nhóm bảo mật của Google tiết lộ vào tuần trước.
Việc triển khai giải quyết các lỗ hổng, 17 trong số đó được đánh giá là Nghiêm trọng, 93 lỗi được đánh giá là Quan trọng và hai lỗi được đánh giá ở mức độ nghiêm trọng Thấp, một lần nữa đưa số lượng bản vá lên hơn 110 sau khi giảm vào tháng trước.
Các bản cập nhật bảo mật bao gồm một loạt phần mềm, bao gồm Microsoft Windows, Office và Office Services và Web Apps, Internet Explorer, Edge, ChakraCore, Exchange Server, Microsoft Dynamics, Windows Codecs Library, Azure Sphere, Windows Defender, Microsoft Teams và Visual Studio .
Đứng đầu trong số những lỗi đã được sửa là CVE-2020-17087 (điểm CVSS 7,8), một lỗ hổng tràn bộ đệm trong Trình điều khiển mã hóa hạt nhân Windows (“cng.sys”) đã được nhóm Google Project Zero tiết lộ vào ngày 30 tháng 10 khi được sử dụng cùng với một Chrome zero-day để thỏa hiệp người dùng Windows 7 và Windows 10.
Về phần mình, Google đã phát hành bản cập nhật cho trình duyệt Chrome của mình để giải quyết lỗ hổng zero-day (CVE-2020-15999) vào tháng trước.
Lời khuyên của Microsoft về lỗ hổng này không đi sâu vào bất kỳ chi tiết nào ngoài thực tế rằng đó là “Lỗ hổng bảo mật nâng cao cục bộ Windows Kernel” nhằm tái cấu trúc các lời khuyên bảo mật phù hợp với định dạng Hệ thống chấm điểm lỗ hổng phổ biến (CVSS) bắt đầu từ tháng này.
Ngoài zero-day, bản cập nhật sửa một số lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Exchange Server (CVE-2020-17084), Network File System (CVE-2020-17051) và Microsoft Teams (CVE-2020- 17091), cũng như lỗ hổng bảo mật trong phần mềm ảo hóa Windows Hyper-V (CVE-2020-17040).
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
CVE-2020-17051 được xếp hạng 9,8 trên 10 điểm tối đa trên điểm CVSS, khiến nó trở thành một lỗ hổng nghiêm trọng. Tuy nhiên, Microsoft lưu ý rằng độ phức tạp tấn công của lỗ hổng — các điều kiện nằm ngoài tầm kiểm soát của kẻ tấn công phải tồn tại để khai thác lỗ hổng — là thấp.
Cũng giống như zero-day, các lời khuyên liên quan đến các thiếu sót bảo mật này được mô tả sơ sài, có rất ít hoặc không có thông tin về cách các lỗ hổng RCE này bị lạm dụng hoặc tính năng bảo mật nào trong Hyper-V đang bị bỏ qua.
Các lỗ hổng nghiêm trọng khác đã được Microsoft khắc phục trong tháng này bao gồm các lỗ hổng hỏng bộ nhớ trong Microsoft Scripting Engine (CVE-2020-17052) và Internet Explorer (CVE-2020-17053) và nhiều lỗ hổng RCE trong thư viện HEVC Video Extensions Codecs.
Người dùng Windows và quản trị viên hệ thống nên áp dụng các bản vá bảo mật mới nhất để giải quyết các mối đe dọa liên quan đến các sự cố này.
Để cài đặt các bản cập nhật bảo mật mới nhất, người dùng Windows có thể đi tới Bắt đầu > Cài đặt > Cập nhật & Bảo mật > Windows Update hoặc bằng cách chọn Kiểm tra các bản cập nhật Windows.
