Microsoft vá 6 lỗ hổng zero-day trong Windows 10. (Ảnh: Threatpost) |
Nếu đang sử dụng hệ điều hành Windows, bạn nên cập nhật ngay bản vá Microsoft gửi ngày 8/6. Theo Microsoft, 6 lỗ hổng zero-day đang được tin tặc khai thác. Windows là hệ điều hành phổ biến tại Việt Nam, do vậy rủi ro với mọi người là như nhau.
Lỗ hổng nghiêm trọng nhất (CVE-2021-33742) cho phép các trang web độc hại tấn công máy tính qua trình duyệt Internet Explorer và các chương trình Microsoft khác. Microsoft Edge cũng sẽ bị ảnh hưởng nếu chạy ở chế độ Internet Explorer.
Nhóm phân tích nguy cơ của Google mới phát hiện lỗ hổng tuần trước. Shane Huntley, một thành viên thuộc nhóm, cho biết dường như nó do một tổ chức tội phạm thương mại phát triển cho khách hàng tại Trung Đông hoặc Tây Âu.
Ngoài ra, còn có hai lỗ hổng zero-day khác (CVE-2021-31955 và 31956) được sử dụng kết hợp với các lỗi của trình duyệt Chrome trong làn sóng tấn công chủ đích nhằm vào nhiều công ty khác nhau hồi tháng 4. Tuy nhiên, vào cuối tháng 4, các lỗ hổng trên Chrome đã được vá.
Hai lỗ hổng zero-day CVE-2021-31199 và 31201 có vẻ được dùng để kết hợp với lỗi trong chương trình Adobe Reader, đã được Adobe vá tháng vào tháng 5. Lỗ hổng Adobe Reader cho phép kẻ tấn công lọt vào hệ thống, sau đó nhờ vào lỗ hổng Microsoft mà kẻ tấn công có thể “leo thang đặc quyền” để chiếm quyền kiểm soát hoàn toàn.
Lỗ hổng zero-day cuối cùng (CVE-2021-33739) cũng là một lỗ hổng leo thang đặc quyền. Microsoft không công bố nhiều chi tiết mà chỉ tiết lộ nó có thể được dùng sau khi kẻ tấn công xâm nhập hệ thống thông qua tấn công lừa đảo (phishing) hoặc các hình thức khác.
Rõ ràng, Microsoft đánh giá các lỗ hổng zero-day này rất nguy hiểm vì công ty vá cho cả Windows 7, Windows 8.1 và Windows 10. Windows 7 chính thức dừng hỗ trợ từ tháng 1/2020 và sẽ không nhận được cập nhật bảo mật nào nữa, dù vậy Microsoft đã âm thầm xử lý các lỗi tồi tệ nhất của hệ điều hành trong vài bản cập nhật Patch Tuesday gần đây.
Du Lam
Thêm một lỗ hổng bảo mật nguy hiểm được chuyên gia Việt Nam phát hiện
Ngoài lỗ hổng CVE-2021-31180 trong Microsoft Office mới được phát hiện, từ đầu năm đến nay, các chuyên gia Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Cục An toàn thông tin, Bộ TT&TT còn phát hiện được hơn 30 lỗ hổng bảo mật khác.