Bản cập nhật của Microsoft cho tháng 10 đã xử lý tổng cộng 104 lỗ hổng bảo mật, trong đó có 3 lỗ hổng zero-day đang bị tấn công trong thực tế.

• 26 lỗ hổng liên quan đến việc tăng cấp quyền truy cập đặc quyền.
• 3 lỗ hổng liên quan đến việc vượt qua tính năng bảo mật.
• 45 lỗ hổng liên quan đến việc thực thi mã từ xa.
• 12 lỗ hổng tiết lộ thông tin.
• 17 lỗ hổng có thể bị tấn công từ chối dịch vụ.
• 1 lỗ hổng giả mạo.

Microsoft đã xử lý tất cả các 45 lỗ hổng liên quan đến việc thực thi mã từ xa, với 12 trong số này được đánh giá là nghiêm trọng.

Ngoài ra, có một lỗi khác không nằm trong số 104 lỗ hổng của Microsoft, đó là lỗi của Chromium với mã định danh là CVE-2023-5346. Lỗi này đã được Google xử lý vào ngày 3/10 và sau đó được chuyển sang Microsoft Edge.

Có 3 lỗ hổng zero-day đang bị tấn công thực tế, trong đó:

1. CVE-2023-41763: Là một lỗ hổng liên quan đến việc tăng cấp quyền truy cập trong ứng dụng Skype dành cho doanh nghiệp. Nếu kẻ tấn công khai thác thành công lỗ hổng này, họ có thể truy cập thông tin bí mật và thay đổi thông tin hoặc truy cập giới hạn đối với tài nguyên cụ thể.

2. CVE-2023-36563: Là một lỗ hổng liên quan đến tiết lộ thông tin trong ứng dụng WordPad. Lỗ hổng này có thể được sử dụng để đánh cắp mã băm NTLM khi mở tài liệu WordPad. Để khai thác lỗ hổng này, kẻ tấn công cần truy cập hệ thống và chạy một ứng dụng có thể khai thác lỗ hổng để kiểm soát hệ thống.

3. CVE-2023-44487: Là một lỗ hổng liên quan đến kỹ thuật tấn công DDoS zero-day có tên gọi "HTTP/2 Rapid Reset." Cuộc tấn công sử dụng tính năng hủy luồng HTTP/2 để tạo tình trạng quá tải máy chủ hoặc ứng dụng mục tiêu, tạo điều kiện tấn công DoS. Microsoft đã đưa ra các biện pháp giảm thiểu cho kỹ thuật này, bao gồm việc vô hiệu hóa giao thức HTTP/2 trên máy chủ web.

Microsoft khuyên người dùng nên cập nhật bản vá mới nhất để đảm bảo an toàn trước các lỗ hổng này.