Skip Ribbon Commands
Skip to main content

Cảnh báo lỗ hổng bảo mật ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 4/2023

Tin tức - Sự kiện Tin tổng hợp  
Cảnh báo lỗ hổng bảo mật ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 4/2023
Ngày 20/4/2023, Sở Thông tin và Truyền thông ban hành Công văn số 504/STTTT-BCVTCNTT cảnh báo về lỗ hổng bảo mật ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 4/2023.

Nhằm tăng cường công tác bảo đảm an toàn, an ninh thông tin, đặc biệt là bảo vệ các hệ thống thông tin của các cơ quan, đơn vị trên địa bàn tỉnh, Sở Thông tin và Truyền thông đề nghị các cơ quan, đơn vị: Kiểm tra, rà soát, xác định máy tính sử dụng hệ điều hành Windows có khả năng bị ảnh hưởng. Thực hiện cập nhật bản vá kịp thời để tránh nguy cơ bị tấn công. Tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.

Biện pháp tốt nhất để khắc phục là cập nhật bản vá cho các lỗ hổng bảo mật nói trên theo hướng dẫn của hãng. Các cơ quan, đơn vị tham khảo các bản cập nhật phù hợp cho các sản phẩm đang sử dụng tại các link nguồn tham khảo, cụ thể như sau:

STTCVEMô tảLink tham khảo
1CVE-2023-28252

- Điểm: CVSS: 7.8 (cao)

- Mô tả: lỗ hổng trong Windows Common Log File System Driver cho phép đối tượng tấn công thực hiện tấn công nâng cao đặc quyền. Lỗ hổng này đang bị khai thác trong thực tế.

- Ảnh hưởng: Windows Server, Windows 10,11.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252
2CVE-2023-21554

- Điểm: CVSS: 9.8 (nghiêm trọng)

- Mô tả: lỗ hổng trong Microsoft Message Queuing cho phép đối tượng tấn công thực thi mã từ xa.

- Ảnh hưởng: Windows Server, Windows 10/11.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554
3

CVE-2023-23384

CVE-2023-23375

CVE-2023-28304

 

- Điểm: CVSS: 7.8/7.3 (cao)

- Mô tả: lỗ hổng trong Microsoft SQL Server cho phép đối tượng tấn công thực thi mã từ xa.

- Ảnh hưởng: Microsoft SQL Server, Microsoft ODBC Driver 18.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23384

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23375

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28304

4CVE-2013-3900

- Điểm: CVSS: 7.4 (cao)

- Mô tả: lỗ hổng xác thực chữ ký WinVerifyTrust cho phép đối tượng tấn công có thể thêm nội dung vào phần chữ ký mã xác thực trong tệp thực thi đã ký mà không làm mất hiệu lực chữ ký.

- Ảnh hưởng: Windows Server, Windows 10/11.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2013-3900
5

CVE-2023-28287

CVE-2023-28295

- Điểm: CVSS: 7.6/6.1 (cao)

- Mô tả: lỗ hổng trong Microsoft Dynamics 365 cho phép đối tượng tấn công thực hiện tấn công XSS.  

- Ảnh hưởng: Microsoft Dynamics 365.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28287

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28295

6

CVE-2023-28309

CVE-2023-28314

- Điểm: CVSS: 7.6/6.1 (cao)

- Mô tả: lỗ hổng trong Microsoft Dynamics 365 cho phép đối tượng tấn công thực hiện tấn công XSS.  

- Ảnh hưởng: Microsoft Dynamics 365.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28309

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28314

 ​