Microsoft âm thầm cập nhật Windows 10 để vá 2 lỗ hổng bảo mật nghiêm trọng

Ngày 01/7 vừa qua, Microsoft đã phải âm thầm cập nhật Windows 10 để vá hai lỗ hổng bảo mật quan trọng ảnh hưởng tới hàng trăm triệu người dùng. Bản cập nhật khẩn cấp này được Microsoft tung ra trước 2 tuần so với lịch trình ra mắt bản vá Patch Tuesday hàng tháng.

Hai lỗ hổng bảo mật vừa được vá nằm trong Windows Codecs Library. Chúng cho phép hacker tải về, cài đặt và khởi chạy các ứng dụng chưa mã độc. Codec là tập hợp các thư viện hỗ trợ, giúp Windows phát, nén và giải nén các loại tập tin nhạc và video.

Tên mã của hai lỗ hổng mới là CVE-2020-1425 và CVE-2020-1456. Hacker có thể lợi dụng những lỗ hổng này để thực thi các câu lệnh tùy ý và kiểm soát máy tính bị xâm nhập. Theo Microsoft, cả hai lỗ hổng đều xuất phát từ cách thư viện codec xử lý các đối tượng trong bộ nhớ.

Hai lỗ hổng bảo mật nghiêm trọng khiến Microsoft phải âm thầm tung ra bản vá khẩn cấp
Hai lỗ hổng bảo mật nghiêm trọng khiến Microsoft phải âm thầm tung ra bản vá khẩn cấp

Tuy nhiên, để khai thác cả hai lỗ hổng này, trước tiên hacker sẽ phải lừa người dùng nhấp vào các tệp hình ảnh được tạo ra theo cách đặc biệt. Khi được nhấp vào, các tập tin hình ảnh này sẽ được mở bằng bất kỳ ứng dụng nào sử dụng Codec Library tích hợp của Windows.

Trong hai lỗ hổng, CVE-2020-1425 nguy hiểm hơn bởi nó cho phép hacker thu thập dữ liệu để gây thêm nhiều thiệt hại cho nạn nhân. CVE-2020-1456 được đánh giá là nguy hiểm bởi nó cho phép hacker thực thi lệnh tùy ý trên máy tính Windows bị tấn công.

Microsoft cho biết tại thời điểm họ tung ra bản vá, cả hai lỗ hổng đều chưa được công khai hoặc bị khai thác một cách tích cực bởi hacker.

Danh sách các phiên bản hệ điều hành Windows bị ảnh hưởng:

  • Windows 10 version 1709
  • Windows 10 version 1803
  • Windows 10 version 1809
  • Windows 10 version 1903
  • Windows 10 version 1909
  • Windows 10 version 2004
  • Windows Server 2019
  • Windows Server version 1803
  • Windows Server version 1903
  • Windows Server version 1909
  • Windows Server version 2004

Microsoft sẽ tự động cập nhật bản vá này trên các phiên bản Windows bị ảnh hưởng, người dùng không cần thực hiện bất cứ hành động nào.

Thứ Năm, 02/07/2020 17:00
31 👨 1.294
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng