Cảnh báo lỗ hổng bảo mật có mức ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 4/2023
21/04/2023
Lượt xem: 1035
Ngày 20/4/2023, Sở Thông tin và Truyền
thông có văn bản số 614/STTTT-TTCNTT&TT về cảnh báo lỗ hổng bảo mật
có mức ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng
4/2023.
Một số lỗ hổng bảo mật có mức ảnh hưởng
cao và nghiêm trọng cần chú ý:
- Lỗ hổng bảo mật CVE-2023-28252 trong
Windows Common Log File Sys-tem Driver cho phép đối tượng tấn công thực hiện
tấn công nâng cao đặc quyền. Lỗ hổng này đang bị khai thác trong thực tế.
- Lỗ hổng bảo mật CVE-2023-21554 trong
Microsoft Message Queuing cho phép đối tượng tấn công thực thi mã từ xa.
- 03 lỗ hổng bảo mật CVE-2023-23384,
CVE-2023-23375, CVE-2023-28304 trong Microsoft SQL Server cho phép đối tượng
tấn công thực thi mã từ xa.
- Lỗ hổng bảo mật CVE-2013-3900 xác thực
chữ ký WinVerifyTrust cho phép đối tượng tấn công có thể thêm nội dung vào phần
chữ ký mã xác thực trong tệp thực thi đã ký mà không làm mất hiệu lực chữ ký.
Gần đây, lỗ hổng này đã được sử dụng trong các cuộc tấn công chuỗi cung ứng vào
phần mềm của hãng 3CX. Microsoft đã đưa ra bản vá về việc kiểm tra tính xác
thực của chữ ký dưới dạng tùy chọn bật hoặc tắt, nếu không được cấu hình sẽ mặc
định là tắt. Trong bản cập nhật này Microsoft đã bổ sung thêm các phiên bản hệ
điều hành bị ảnh hưởng. Để nâng cao bảo mật an toàn thông tin cho các thiết bị
sử dụng hệ điều hành Windows người dùng có thể xem xét việc bật tùy chọn kiểm
tra này.
- 02 lỗ hổng bảo mật CVE-2023-28287,
CVE-2023-28295 trong Microsoft Publisher cho phép đối tượng tấn công thực thi
mã từ xa.
- 02 lỗ hổng bảo mật CVE-2023-28309,
CVE-2023-28314 trong Microsoft Dynamics 365 cho phép đối tượng tấn công thực
hiện tấn công XSS.
Chi tiết tại văn bản số 614/STTTT-TTCNTT&TT.
Văn phòng Sở