Điều gì vừa xảy ra? Microsoft đã phát hành bản cập nhật Patch Tuesday tháng 6 năm 2023 với các bản sửa lỗi cho 78 lỗi bảo mật, bao gồm 38 lỗ hổng thực thi mã từ xa (RCE) trong Windows và các Cấu phần Windows, Office và Cấu phần Office, Exchange Server, trình duyệt Edge, SharePoint Server, .NET và Visual Studio , Teams, Azure DevOps, Microsoft Dynamics và Remote Desktop Client.
Sáu trong số ba mươi tám lỗi RCE được liệt kê là “nghiêm trọng”, bao gồm một số lỗi có khả năng dẫn đến các cuộc tấn công từ chối dịch vụ (DoS) và nâng cao đặc quyền. BẰNG lưu ý bởi Bleeping Computer, Bản vá Thứ Ba không khắc phục bất kỳ lỗ hổng zero-day nào, nhưng đây vẫn là một bản cập nhật quan trọng, do số lượng lỗi mà nó sửa được rất nhiều, bao gồm nhiều lỗi đã được phân loại là ‘nghiêm trọng’.
Danh sách các lỗi được vá bao gồm 17 lỗ hổng nâng cao đặc quyền, 2 lỗ hổng bỏ qua tính năng bảo mật, 32 lỗ hổng RCE, 5 lỗ hổng tiết lộ thông tin, 10 lỗ hổng DoS, 10 lỗ hổng giả mạo và 1 lỗ hổng Edge xuất phát từ lỗ hổng trong cơ sở mã Chromium. Tuy nhiên, nó không bao gồm 16 lỗ hổng Edge đã được sửa thông qua một bản tin bảo mật được tung ra vào đầu tháng này.
Một trong những lỗ hổng đáng chú ý hơn đã được giải quyết trong Bản vá thứ ba mới nhất là lỗ hổng nâng cao đặc quyền trong Microsoft SharePoint, được theo dõi là CVE-2023-29357. Theo Microsoft, lỗ hổng này cho phép kẻ tấn công chiếm các đặc quyền của người dùng khác, bao gồm cả quản trị viên. Lỗi này đã được báo cáo là đang được khai thác tích cực trong tự nhiên, nhưng hiện tại không có thông tin chi tiết nào về nó.
Một lỗi đáng chú ý khác được khắc phục bằng bản cập nhật sắp tới là lỗ hổng thực thi mã từ xa của Microsoft Exchange, được theo dõi là CVE-2023-32031. Lỗi được báo cáo cho phép thực thi mã từ xa, được xác thực và theo lời khuyên của Microsoft, cho phép kẻ tấn công “kích hoạt mã độc hại trong ngữ cảnh tài khoản của máy chủ thông qua một cuộc gọi mạng.” Tuy nhiên, không giống như lỗi SharePoint, không có báo cáo nào về việc nó bị khai thác ngoài thực tế.
Ngoài các lỗi đã nói ở trên, Microsoft cũng đã vá một số lỗ hổng trong các thành phần của Office, bao gồm Excel, Outlook và OneNote. Theo công ty, một số trong số này cho phép kẻ tấn công sử dụng các tài liệu Excel và OneNote độc hại được tạo thủ công để thực hiện mã từ xa. Nhìn chung, bản cập nhật Bản vá Thứ Ba tháng 6 năm 2023 mang đến một số bản vá quan trọng cho các sản phẩm của Microsoft, vì vậy hãy tải xuống và cài đặt bản vá này trên thiết bị của bạn càng sớm càng tốt để duy trì tính bảo mật trực tuyến của bạn.
Trong khi đó, trong các tin tức liên quan, Windows 10 phiên bản 21H2 đã kết thúc dịch vụ (EoS) trong tuần này, nghĩa là Microsoft sẽ không còn phát hành bản cập nhật cho phiên bản Windows 10 Home, Pro, Pro Education và Pro for Workstations đó nữa. Những người đang chạy phiên bản lỗi thời nên cập nhật hệ thống của họ lên Windows 10 phiên bản 22H2, phiên bản này sẽ được hỗ trợ cho đến tháng 10 năm 2025.