Ngày 01/7 vừa qua, Microsoft đã phải âm thầm cập nhật Windows 10 để vá hai lỗ hổng bảo mật quan trọng ảnh hưởng tới hàng trăm triệu người dùng. Bản cập nhật khẩn cấp này được Microsoft tung ra trước 2 tuần so với lịch trình ra mắt bản vá Patch Tuesday hàng tháng.
Hai lỗ hổng bảo mật vừa được vá nằm trong Windows Codecs Library. Chúng cho phép hacker tải về, cài đặt và khởi chạy các ứng dụng chưa mã độc. Codec là tập hợp các thư viện hỗ trợ, giúp Windows phát, nén và giải nén các loại tập tin nhạc và video.
Tên mã của hai lỗ hổng mới là CVE-2020-1425 và CVE-2020-1456. Hacker có thể lợi dụng những lỗ hổng này để thực thi các câu lệnh tùy ý và kiểm soát máy tính bị xâm nhập. Theo Microsoft, cả hai lỗ hổng đều xuất phát từ cách thư viện codec xử lý các đối tượng trong bộ nhớ.
Tuy nhiên, để khai thác cả hai lỗ hổng này, trước tiên hacker sẽ phải lừa người dùng nhấp vào các tệp hình ảnh được tạo ra theo cách đặc biệt. Khi được nhấp vào, các tập tin hình ảnh này sẽ được mở bằng bất kỳ ứng dụng nào sử dụng Codec Library tích hợp của Windows.
Trong hai lỗ hổng, CVE-2020-1425 nguy hiểm hơn bởi nó cho phép hacker thu thập dữ liệu để gây thêm nhiều thiệt hại cho nạn nhân. CVE-2020-1456 được đánh giá là nguy hiểm bởi nó cho phép hacker thực thi lệnh tùy ý trên máy tính Windows bị tấn công.
Microsoft cho biết tại thời điểm họ tung ra bản vá, cả hai lỗ hổng đều chưa được công khai hoặc bị khai thác một cách tích cực bởi hacker.
Danh sách các phiên bản hệ điều hành Windows bị ảnh hưởng:
Microsoft sẽ tự động cập nhật bản vá này trên các phiên bản Windows bị ảnh hưởng, người dùng không cần thực hiện bất cứ hành động nào.
