Microsoft phát hành bản cập nhật Patch Tuesday với 5 lỗ hổng Zero-Day

Microsoft phát hành bản cập nhật định kỳ Patch Tuesday bao gồm tất cả 10 bản vá bảo mật lớn. Người dùng được yêu cầu bắt buộc cài đặt toàn bộ bản cập nhật.

Windows bắt đầu triển khai một mô hình cập nhật mới hàng tháng bằng cách đóng gói toàn bộ các bản vá bảo mật thành một, người dùng sẽ không thể chọn cài đặt từng bản vá riêng rẽ.

Bản cập nhật tháng 10 xử lý ít nhất 5 lỗ hổng zero-day cực kỳ nguy hiểm trong Internet Explorer, Edge, Windows và Office. Đặc biệt chúng đã bị tin tặc khai thác trong thực tế trước khi bản vá được phát hành.

Danh sách các lỗ hổng Zero-day bao gồm:

1. CVE-2016-3298: Lỗ hổng zero-day nằm trong trình duyệt web Internet Explorer cho phép tin tặc khai thác nhằm tìm kiếm các tệp tin hiện diện trong ổ đĩa cứng.
2. CVE-2016-7189: Lỗ hổng nằm trong engine của trình duyệt Microsoft Edge cho phép thực thi mã tùy ý từ xa.
3. CVE-2016-3393: Lỗ hổng zero-day trong Microsoft Windows Graphics Component có thể bị khai thác thông qua web và email  chứa tệp tin độc hại hoặc thông qua ứng dụng chia sẻ tệp tin nhằm thực hiện tấn công mã từ xa.
4. CVE-2016-7193: Lỗ hổng zero-day trong bộ sản phẩm Office.
5. CVE-2016-3298: Lỗ hổng zero-day cuối cùng được đánh giá mức độ nguy hiểm trung bình có thể bị khai thác rò rỉ bộ nhớ, ảnh hưởng trên Vista, Windows 7, 8 và trong Microsoft Internet Messaging API.

Microsoft cũng xử lý  12 lỗ hổng trong Adobe Flash Player dành cho Windows 8.1, Windows 10 và Server 2012.

Phần còn lại của bản cập nhật có mức độ nguy hiểm trung bình bao gồm MS16-123, MS16-124 và MS16-125 xử lý 5 lỗ hổng vượt quyền trong Windows Kernel-Mode, 4 lỗ hổng vượt quyền trong Windows Registry và 1 lỗ hổng vượt quyền trong Windows Diagnostics Hub.

Thiết bị sẽ cần khởi động lại sau khi áp dụng bản cập nhật do đó người dùng và quản trị viên được khuyến cáo lưu lại công việc của mình trước khi cài đặt bản cập nhật trên hệ thống của mình.

THN