Microsoft chính thức phát hành các bản sửa lỗi cho 112 lỗ hổng bảo mật mới được phát hiện như một phần của Bản vá thứ ba tháng 11 năm 2020, bao gồm cả một lỗ hổng zero-day được khai thác tích cực bởi nhóm bảo mật của Google vào tuần trước.
Bản phát hành giải quyết các lỗi, 17 trong số đó được đánh giá là Nghiêm trọng, 93 được đánh giá là Quan trọng và hai được đánh giá là Mức độ nghiêm trọng thấp, một lần nữa đưa số bản vá lên hơn 110 sau khi sụt giảm vào tháng trước.
Các bản cập nhật bảo mật bao gồm một loạt phần mềm, bao gồm Microsoft Windows, Office và Office Services và Web Apps, Internet Explorer, Edge, ChakraCore, Exchange Server, Microsoft Dynamics, Windows Codec Library, Azure Sphere, Windows Defender, Microsoft Teams và Visual Studio .
Đứng đầu trong số những người cố định là CVE-2020-17087 (Điểm CVSS 7,8), một lỗ hổng tràn bộ đệm trong Windows Kernel Cryptography Driver (“cng.sys”) đã được tiết lộ vào ngày 30 tháng 10 bởi nhóm Google Project Zero vì được sử dụng cùng với Chrome zero-day để xâm phạm người dùng Windows 7 và Windows 10.
Về phần mình, Google đã phát hành bản cập nhật cho trình duyệt Chrome của mình để giải quyết vấn đề zero-day (CVE-2020-15999) vào tháng trước.
Lời khuyên của Microsoft về lỗ hổng này không đi sâu vào bất kỳ chi tiết nào ngoài thực tế rằng đó là “Lỗ hổng bảo mật nâng cao đặc quyền của nhân Windows” một phần là cơ cấu lại các cố vấn bảo mật phù hợp với định dạng Hệ thống chấm điểm lỗ hổng phổ biến (CVSS) bắt đầu từ tháng này.
Ngoài zero-day, bản cập nhật sửa một số lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Exchange Server (CVE-2020-17084), Hệ thống Tệp Mạng (CVE-2020-17051) và Microsoft Teams (CVE-2020-17091), cũng như lỗ hổng bảo mật trong phần mềm ảo hóa Windows Hyper-V (CVE-2020-17040).
CVE-2020-17051 được xếp hạng 9,8 trên 10 điểm tối đa trong điểm CVSS, khiến nó trở thành một lỗ hổng nghiêm trọng. Tuy nhiên, Microsoft lưu ý rằng mức độ phức tạp tấn công của lỗ hổng – các điều kiện nằm ngoài tầm kiểm soát của kẻ tấn công phải tồn tại để khai thác lỗ hổng – là thấp.
Cũng giống như zero-day, các lời khuyên liên quan đến những thiếu sót bảo mật này chỉ mang tính mô tả, với rất ít hoặc không có thông tin về cách các lỗi RCE này bị lạm dụng hoặc tính năng bảo mật nào trong Hyper-V đang bị bỏ qua.
Các lỗ hổng nghiêm trọng khác được Microsoft sửa trong tháng này bao gồm lỗ hổng hỏng bộ nhớ trong Microsoft Scripting Engine (CVE-2020-17052) và Internet Explorer (CVE-2020-17053) và nhiều lỗ hổng RCE trong thư viện Mã mở rộng video HEVC.
Người dùng Windows và quản trị viên hệ thống rất nên áp dụng các bản vá bảo mật mới nhất để giải quyết các mối đe dọa liên quan đến những vấn đề này.
Để cài đặt các bản cập nhật bảo mật mới nhất, người dùng Windows có thể đi tới Bắt đầu> Cài đặt> Cập nhật & Bảo mật> Windows Update hoặc bằng cách chọn Kiểm tra các bản cập nhật Windows.
