Trong tổng số 21 lỗ hổng được định danh CVE được vá, đáng lưu ý là lỗ hổng CVE-2018-8174 nằm trong Engine của ngôn ngữ lập trình VBScript Windows. Lỗ hổng này cho phép kẻ tấn công có thể thực thi mã từ xa tùy ý.
Microsoft đã lý giải chi tiết hơn trong một khuyến cáo rằng: Kẻ tấn công có thể chiếm quyền điều khiển tương tự người dùng. Nếu người dùng hiện tại đang đăng nhập với quyền quản trị hệ thống, kẻ tấn công có thể chiếm quyền điều khiển hệ thống. Từ đó, cài đặt chương trình, xem, sửa, xóa dữ liệu, tạo tài khoản mới với đầy đủ quyền hạn,….
Để khai thác lỗ hổng, kẻ tấn công có thể thực hiện các cách thức: lừa người dùng truy cập vào một website độc hại, khai thác thông qua một ứng dụng nhúng ActiveX, hoặc các file văn bản Office chứa công cụ dịch mã (rendering engine) của trình duyệt Internet Explorer.
Nếu không thể chiếm quyền truy cập, kẻ tấn công có thể khai thác các lỗ hổng leo thang đặc quyền khác như lỗ hổng CVE-2018-8120 trên các phiên bản cũ của Windows (Windows 7, Server 2008, Server 2008 R2).
Ngoài ra, 2 lỗ hổng là CVE-2018-8141 và CVE-2018-8170 đã bị công bố mã khai thác. Điều này có nghĩa, kẻ tấn công đã có đầy đủ thông tin về cách thức hoạt động của các lỗ hổng này trước khi các tổ chức cập nhật bản vá.
CVE-2018-8141 là lỗ hổng gây rò rỉ thông tin trong Windows Kernel. Còn CVE-2018-8170 là lỗ hổng leo thang đặc quyền trong Windows Image. Trong cả hai trường hợp này, kẻ tấn công cần phải đăng nhập hoặc chiếm quyền truy cập nội bộ để khai thác.
Bản cập nhật bảo mật tháng 5/2018 cũng bao gồm một bản vá ngoài dự định có định danh là CVE-2018-8115, tác động đến thư viện Windows Host Compute Service Shim. Thư viện này giúp khởi chạy Window Server từ các nhà cung cấp dịch vụ như Docker.
Trước đó, Microsoft đã phát hành riêng 1 bản cập nhật ngoài dự định cho lỗ hổng này, nhưng vẫn phát hành cùng bản cập nhật Patch Tuesday cho những cá nhân, tổ chức chưa tiến hành cài đặt thủ công bản vá này.
Vũ Mạnh Hùng (theo Tạp chí InfoSecurity)
10:37 | 16/11/2016
08:00 | 20/08/2018
09:00 | 19/02/2019
08:00 | 26/03/2019
15:21 | 26/04/2016
17:00 | 31/01/2020
15:34 | 25/10/2008
08:00 | 25/06/2018
08:00 | 17/07/2019
10:00 | 14/02/2019
07:00 | 23/10/2024
Công ty môi giới dữ liệu National Public Data (Mỹ) từng thông báo lộ, lọt 300 triệu số an sinh xã hội và các thông tin nhận dạng cá nhân khác, đã nộp đơn xin bảo hộ phá sản do làn sóng kiện tụng.
16:00 | 09/10/2024
Mới đây, Microsoft đã phát hành bản vá Patch Tuesday tháng 10/2024 để giải quyết 118 lỗ hổng bảo mật, bao gồm 5 lỗ hổng zero-day, trong đó có 2 lỗ hổng đang bị khai thác tích cực trên thực tế.
15:00 | 04/10/2024
Cơ quan chức năng bảo vệ quyền riêng tư châu Âu tuyên phạt Meta số tiền lên tới 101,5 triệu USD do lưu trữ mật khẩu người dùng mà không có biện pháp bảo mật hoặc mã hóa.
10:00 | 06/09/2024
Ngày 3/9, Cơ quan Bảo vệ dữ liệu Hà Lan (DPA) tuyên bố phạt công ty trí tuệ nhân tạo (AI) chuyên về nhận dạng khuôn mặt tự động Clearview AI số tiền 30,5 triệu Euro (khoảng 33,7 triệu USD), vì đã tạo cơ sở dữ liệu bất hợp pháp.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Meta vừa trình làng mô hình trí tuệ nhân tạo (AI) đột phá với khả năng tự đánh giá và học hỏi “Self-Taught Evaluation” (STE), mở ra kỷ nguyên mới cho sự phát triển của AI tự động. Công nghệ tiên tiến này được kỳ vọng sẽ giảm thiểu sự can thiệp của con người, cho phép AI tự hoàn thiện và nâng cao hiệu suất một cách độc lập.
10:00 | 25/10/2024
