InforSec News: Microsoft sửa chữa các lỗ hổng bảo mật AI, đám mây và ERP

Top Block Position

Microsoft sửa chữa các lỗ hổng bảo mật AI, đám mây và ERP

Microsoft đã giải quyết bốn lỗ hổng bảo mật ảnh hưởng đến trí tuệ nhân tạo (AI), đám mây, lập kế hoạch tài nguyên doanh nghiệp và các dịch vụ Partner Center, bao gồm một lỗ hổng mà họ cho biết đã bị khai thác trong thực tế.

Lỗ hổng đã được gắn thẻ đánh giá 'Phát hiện khai thác' là CVE-2024-49035 (CVSS: 8.7), một lỗ hổng leo thang đặc quyền trong partner.microsoft.com.

Lỗ hổng kiểm soát truy cập không đúng cách trong partner.microsoft.com cho phép kẻ tấn công chưa được xác thực leo thang đặc quyền qua mạng. Các bản sửa lỗi cho các lỗ hổng đang được triển khai tự động như một phần của các bản cập nhật cho phiên bản trực tuyến của Microsoft Power Apps. Ba lỗ hổng khác cũng đã được giải quyết, hai trong số đó được xếp hạng Critical và một được đánh giá là Important về mức độ nghiêm trọng.

Các lỗ hổng được liệt kê bên dưới: • CVE-2024-49038 (CVSS: 9.3) - Lỗ hổng cross-site scripting (XSS) trong Copilot Studio có thể cho phép kẻ tấn công trái phép leo thang đặc quyền qua mạng • CVE-2024-49052 (CVSS: 8.2) - Thiếu xác thực cho lỗ hổng chức năng quan trọng trong Microsoft Azure PolicyWatch có thể cho phép kẻ tấn công trái phép leo thang đặc quyền qua mạng • CVE-2024-49053 (CVSS: 7.6) - Lỗ hổng giả mạo trong Microsoft Dynamics 365 Sales có thể cho phép kẻ tấn công được xác thực để lừa người dùng nhấp vào một URL được chỉnh sửa đặc biệt và có khả năng chuyển hướng nạn nhân đến một trang web độc hại.

Mặc dù hầu hết các lỗ hổng đã được giảm thiểu hoàn toàn và không yêu cầu hành động của người dùng, nhưng khuyến nghị người dùng nên cập nhật ứng dụng Dynamics 365 Sales dành cho Android và iOS lên phiên bản mới nhất (3.24104.15) để bảo mật chống lại CVE-2024-49053.

Nguồn: The Hacker News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học