Microsoft vừa phát hành bản vá Patch Tuesday khắc phục nhiều lỗ hổng nghiêm trọng trên Windows và các sản phẩm khác, 5 trong số đó cho phép kẻ tấn công hack máy tính khi người dùng chỉ cần truy cập một trang web.
5 lỗ hổng nghiêm trọng này nằm trong Windows Graphics Component, tồn tại do việc xử lý các font nhúng của thư viện font Windows không đúng quy cách và ảnh hưởng tới tất cả các bản Windows, gồm cả Windows 10 / 8.1 / RT 8.1 / 7, Windows Server 2008 / 2012 / 2016.
Người dùng chỉ cần mở tập tin hay truy cập website có dùng font nhiễm độc, khi mở trên trình duyệt sẽ khiến hacker chiếm quyền kiểm soát máy. Cả 5 lỗ hổng này đều do nhà nghiên cứu Hossein Lotfi tại Flexera Software phát hiện và báo cáo.
- CVE-2018-1010
- CVE-2018-1012
- CVE-2018-1013
- CVE-2018-1015
- CVE-2018-1016
Windows Microsoft Graphics cũng bị ảnh hưởng bởi kiểu tấn công từ chối dịch vụ, khiến máy nạn nhân ngừng phản hồi. Lỗi này là do cách Windows xử lý các đối tượng trong bộ nhớ.
Ngoài ra, Microsoft cũng công bố chi tiết lỗ hổng RCE quan trọng (CVE-201801994) nằm trong Windows VBScript Engine và ảnh hưởng tới mọi bản Windows.
Nhiều lỗ hổng nghiêm trọng được vá trong bản cập nhật thứ Ba
“Ở kịch bản tấn công qua web, kẻ tấn công host một website được thiết kế riêng để khai thác lỗ hổng qua Internet Explorer rồi khiến người dùng truy cập trang”, Microsoft giải thích. “Kẻ tấn công có thể nhúng ActiveX Control được gắn là “an toàn” trong ứng dụng hoặc tập tin Microsoft Office có host engine render của IE”.
Bên cạnh đó, Microsoft cũng vá nhiều lỗ hỏng thực thi đoạn mã từ xa trên Microsoft Office và Excel, vá 6 lỗi trên Adobe Flash Player, 3 trong số đó được cho là nghiêm trọng.
Các lỗi còn lại thuộc về Windows, Microsoft Office, Internet Explorer, Microsoft Edge, ChakraCore, Malware Protection Engine, Microsoft Visual Studio, và Microsoft Azure IoT SDK, cùng với lỗi trên Adobe Flash Player
Người dùng nên cập nhật bản vá nhanh nhất có thể bằng cách đi tới Settings > Update and Security > Windows Update > Check for Updates.
Xem thêm: