Là một phần của Bản vá thứ ba (Patch Tuesday) của tháng này, Microsoft phát hành một loạt cập nhật bảo mật mới để sửa 129 lỗ hổng bảo mật mới được phát hiện ảnh hưởng đến các phiên bản khác nhau của hệ điều hành Windows và phần mềm liên quan.
Tổng số 129 lỗi bảo mật được đề cập nằm trên các sản phẩm khác nhau của hãng có trụ sở tại Redmond bao gồm Windows, trình duyệt Edge, Internet Explorer, ChakraCore, SQL Server, Exchange Server, Office, ASP.NET, OneDrive, Azure DevOps, Visual Studio và Microsoft Dynamics. Trong đó có 23 lỗi được liệt kê là nghiêm trọng, 105 là quan trọng và một ở mức độ nghiêm trọng vừa phải.
Không giống vài tháng trước, hiện không có lỗ hổng bảo mật nào trong số 129 lỗi trên được liệt kê là đã bị thông báo công khai hoặc đang bị tấn công tại thời điểm phát hành, hoặc ít nhất là Microsoft không biết.
Một lỗ hổng hỏng bộ nhớ (CVE-2020-16875) trong phần mềm Microsoft Exchange làm nổi bật tất cả các lỗ hổng nghiêm trọng. Việc khai thác lỗ hổng này có thể cho phép kẻ tấn công chạy mã tùy ý ở cấp hệ thống (system) bằng cách gửi một email được tạo đặc biệt tới phần mềm Máy chủ Exchange Server bị lỗi bảo mật.
Microsoft giải thích “Một lỗ hổng thực thi mã từ xa tồn tại trong phần mềm Microsoft Exchange, khi phần mềm không xử lý đúng các đối tượng trong bộ nhớ. Kẻ tấn công có thể cài đặt các chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới.”
Microsoft cũng đã vá hai lỗ hổng giúp thực thi mã từ xa quan trọng trong Thư viện Codec của Windows. Cả hai được thực thi theo cách mà Thư viện Codec của Microsoft Windows xử lý các đối tượng trong bộ nhớ, trong khi một lỗi (CVE-2020-1129) có thể bị lợi dụng để lấy thông tin nhằm xâm phạm hệ thống của người dùng hơn nữa, lỗi còn lại (CVE-2020-1319) có thể được sử dụng để kiểm soát hệ thống bị ảnh hưởng.
Bên cạnh đó, hai lỗi thực thi mã từ xa ảnh hưởng đến việc triển khai tại chỗ của Microsoft Dynamics 365, nhưng cả hai đều buộc kẻ tấn công phải vượt qua bước xác thực. Microsoft cũng đã vá 6 lỗ hổng thực thi mã từ xa quan trọng trong SharePoint và một lỗi trong SharePoint Server. Trong khi khai thác lỗ hổng trong SharePoint Server yêu cầu phải xác thực, các lỗ hổng khác trong SharePoint thì không.
Các lỗi nghiêm trọng khác mà hãng đã vá trong tháng này nằm trong Windows, Windows Media Audio Decoder, Windows Text Service Module, Windows Camera Codec Pack, Visual Studio, Scripting Engine, Microsoft COM for Windows, Microsoft Browser và Graphics Device Interface.
Các lỗ hổng được đánh dấu là quan trọng nằm trong Windows, Active Directory, Active Directory Federation Services (ADFS), Internet Explorer Browser Helper, Jet Database Engine, ASP.NET Core, Dynamics 365, Excel, Graphics Component, Office, Office SharePoint, SharePoint Server, SharePoint , Word, OneDrive cho Windows, Scripting Engine, Visual Studio, Win32k, Windows Defender Application Control, Windows DNS… Hầu hết lỗ hổng này đều cho phép tiết lộ thông tin, nâng cao đặc quyền và tấn công cross-Site Scripting. Một số cũng dẫn đến các cuộc tấn công thực thi mã từ xa. Ngược lại, một số lỗi cho phép các cuộc tấn công bỏ qua tính năng bảo mật, giả mạo và từ chối dịch vụ.
Người dùng Windows và quản trị viên hệ thống được khuyến cáo cập nhật các bản vá bảo mật mới nhất càng sớm càng tốt để ngăn chặn tội phạm mạng và tin tặc chiếm quyền kiểm soát máy tính.