Bản vá ngày thứ Ba cho tháng 05/2014 - 8 bản tin, 2 lỗi sống còn, 0 có gì cho XP

Patch Tuesday for May 2014 - 8 bulletins, 2 critical, 0/zero/zilch/zip for XP

by Paul Ducklin on May 12, 2014 | 2 Comments

Theo: http://nakedsecurity.sophos.com/2014/05/12/patch-tuesday-for-may-2014-8-bulletins-2-critical-0zerozilchzip-for-xp/

Bài được đưa lên Internet ngày: 12/05/2014

Lời người dịch: Khẳng định chắc chắn, trong Bản vá ngày thứ Ba, 13/05/2014, có 8 bản tin an ninh, 2 trong số đó được xếp hạng là Sống còn. “Đứng đầu danh sách, theo cả nghĩa đen và nghĩa bóng, là cuộn tích lũy của Internet Explorer (IE)”. “Không có các bản vá cho những người sử dụng XP, không cho IE, và không có bất kỳ thành phần nào của Windows, hệt như Microsoft đã công bố khoảng 7 năm về trước. Khuyến cáo của chúng tôi cho XP đã định đoạt rồi, luôn là: (1) Không chạy XP. (2) Nếu bạn phải chạy XP, hãy sử dụng Kiểm soát Ứng dụng (Application Control) để ngăn chặn máy tính khỏi sử dụng để duyệt hoặc tiến hành các công việc tương tác trực tuyến nào khác. (3) Nếu bạn phải duyệt từ XP (và, hãy đối mặt với nó) hãy sử dụng một trình duyệt như Firefox hoặc Chromium mà vẫn còn đang được cập nhật. (4) ĐI TỚI 1”. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer.

Lưu ý nhanh nhắc bạn rằng ngày mai là Bản vá ngày thứ Ba, nên đây là những gì sẽ kỳ vọng.

Con số là “2 trong số 8”, với 8 bản tin an ninh, 2 trong số đó được xếp hạng là Sống còn.

Đứng đầu danh sách, theo cả nghĩa đen và nghĩa bóng, là cuộn tích lũy của Internet Explorer (IE) thường thấy, với tất cả các phiên bản IE được hỗ trợ có các bản vá.

Trên các nền tảng không phải máy chủ, Microsoft đã xếp hạng Bản tin số 1, bản vá IE, như là sống còn từ IE 6 cho tới IE 11, cả các phiên bản 32 bit và 64 bit, trên các vi xử lý Intel và ARM.

Không giống như bản vá ngày số 0 đã phát hành giữa tháng cho CVE-2014-1776 (cuộc tấn công mà có thể bị đánh biên bằng việc tắt phần bổ sung thêm (add-in) đồ họa trung gian của IE), Microsoft đã không thương xót những người sử dụng XP lần này.

Không có các bản vá cho những người sử dụng XP, không cho IE, và không có bất kỳ thành phần nào của Windows, hệt như Microsoft đã công bố khoảng 7 năm về trước.

Khuyến cáo của chúng tôi cho XP đã định đoạt rồi, luôn là:

1. Không chạy XP.
2. Nếu bạn phải chạy XP, hãy sử dụng Kiểm soát Ứng dụng (Application Control) để ngăn chặn máy tính khỏi sử dụng để duyệt hoặc tiến hành các công việc tương tác trực tuyến nào khác.
3. Nếu bạn phải duyệt từ XP (và, hãy đối mặt với nó) hãy sử dụng một trình duyệt như Firefox hoặc Chromium mà vẫn còn đang được cập nhật.
4. ĐI TỚI 1.

Dường như sẽ không còn bất kỳ bản vá nào nữa tháng này mà đáng giá hoặc biết trước đủ đối với Microsoft để công bố chính xác các chi tiết trước.

Đôi khi xảy ra, như nó đã từng làm vào tháng trước khi một lỗi ngày số 0 đã khai thác một chỗ bị tổn thương trong việc mở các tệp RTF đã được vá, và Trung tâm Nghiên cứu An ninh của Microsoft đã đưa ra các chi tiết một tuần trước Bản vá ngày thứ Ba.

Tháng này, những người Nghiên cứu An ninh đã giữ nó đơn giản, thường có nghĩa là tất cả các bản vá là cho các chỗ bị tổn thương được tiết lộ một cách riêng tư:

Các bản cập nhật [Tháng 05/2014] sẽ giải quyết các chỗ bị tổn thương cho Khung .NET, Office, Internet Explorer và Windows.

Như bạn có thể kỳ vọng, bản vá khung .NET sáp dụng hầu hết cho tất cả các hệ điều hành được hỗ trợ, máy chủ và máy để bàn.

Thú vị, nền tảng duy nhất không bị ảnh hưởng là Windows Server 2008; bản R2 của Server 2008 sẽ đòi hỏi bản vá.

Lưu ý rằng bản vá này áp dụng cho Server Core cũng như các cài đặt máy chủ đầy đủ.

Bản vá cho .NET, bản tin số 5, làm việc với một lỗi leo thang quyền ưu tiên (EoP); vì các EoP không đưa abạn vào một máy tính bị tổn thương ngay từ đầu, nên chúng thường có mức khắc nghiệt là Quan trọng, như trong trường hợp này.

Nhưng, như chúng tôi giải thích trong podcast Techknow phổ biến của chúng tôi về các chỗ bị tổn thương, một EoP thường có thể được một kẻ tấn công sử dụng để biến một lỗ hổng chạy mã ở xa mức người sử dụng thành một chỗ bị tổn thương mức hệ thống đầy đủ.

Các phiên bản Office có các bản vá là: 2007, 2010, 2013 và 2013 RT; những người sử dụng Office for Mac có thể thư dãn nghỉ ngơi lần này.

Và các thành phần phần mềm máy chủ có các bản vá bao gồm: SharePoint, SharePoint Designer và Office WebApps trong các phiên bản 2010 và 2013 của chúng.

Ồ, và kế hoạch về khởi động lại: bản vá IE đòi hỏi nó, và bản tin số 6 cũng vậy, một bản và EoP cho bản thân Windows mà áp dụng khắp nơi, bao gồm cả Server Core.

Mừng hạnh phúc ngày thứ Ba nhé!

A quick note to remind you that tomorrow is Patch Tuesday, so here's what to expect.

The scorecard is "2 from 8", with eight security bulletins due, two of which are rated Critical.

Top of the list, literally and figuratively, is the usual Internet Explorer (IE) cumulative rollup, with all supported versions of IE getting patches.

On non-server platforms, Microsoft has rated Bulletin One, the IE patch, as critical from IE 6 to IE 11, for 32-bit and 64-bit versions, on Intel and ARM processors.

Unlike the zero-day patch that came out mid-month for CVE-2014-1776 (the attack that could be sidestepped by turning off IE's vector graphics addin), Microsoft has not taken pity on XP users this time.

There are no patches for XP users, not for IE, and not for any other component of Windows, just like Microsoft announced some seven years ago.

Our advice for XP diehards, as always, is:

1. Don't run XP.
2. If you have to run XP, use Application Control to prevent the computer being used for browsing or other interactive online work.
3. If you have to browse from XP (and, let's face it, you don't), use a browser like Firefox or Chromium that is still being updated.
4. GOTO 1.

There don't seem to be any patches this month that are newsworthy or anticipated enough for Microsoft to announce precise details in advance.

That sometimes happens, as it did last month when a zero-day that exploited a vulnerability in opening RTF files was patched, and Microsoft's Security Research Center gave out the details the week before Patch Tuesday.

This month, the Security Research guys have kept it simple, which usually means that all the patches are for privately disclosed vulnerabilities:

[The May 2014] updates will address vulnerabilities for .NET Framework, Office, Internet Explorer, and Windows.

As you might expect, the .NET framework patch applies to almost all supported operating systems, server and desktop alike.

Intriguingly, the only platform unaffected is Windows Server 2008; the R2 flavour of Server 2008 will require the patch.

Note that this patch applies to Server Core as well as to full-blown server installs.

The .NET patch, Bulletin Five, deals with an elevation of privilege (EoP) flaw; because EoPs don't get you into a vulnerable computer in the first place, they usually attract a severity level of Important, as in this case.

But, as we explain in our popular Techknow podcast on vulnerabilities, an EoP can often be used by an attacker to turn a user-level remote code execution hole into a full system-level compromise.

The Office versions getting patches are: 2007, 2010, 2013 and 2013 RT; Office for Mac users can relax this time.

And the server software components getting patches include: SharePoint, SharePoint Designer and Office WebApps in their 2010 and 2013 flavours.

Oh, and plan on rebooting: the IE patch requires it, and so does Bulletin Six, an EoP patch for Windows itself that applies everywhere, including Server Core.

Have a happy Tuesday!

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com