Patch
Tuesday for May 2014 - 8 bulletins, 2 critical, 0/zero/zilch/zip for
XP
by
Paul Ducklin on May 12, 2014 | 2 Comments
Bài
được đưa lên Internet ngày: 12/05/2014
Lời
người dịch: Khẳng định chắc chắn, trong Bản vá ngày
thứ Ba, 13/05/2014, có 8 bản tin an ninh, 2 trong số đó được
xếp hạng là Sống còn. “Đứng
đầu danh sách, theo cả nghĩa đen và nghĩa bóng, là cuộn
tích lũy của Internet Explorer (IE)”.
“Không có các bản vá cho
những người sử dụng XP, không cho IE, và không có bất
kỳ thành phần nào của Windows,
hệt như Microsoft đã công bố khoảng 7 năm về trước.
Khuyến cáo của chúng tôi cho XP đã
định đoạt rồi, luôn là: (1) Không chạy XP.
(2) Nếu bạn phải chạy XP, hãy sử dụng Kiểm soát Ứng
dụng (Application Control) để ngăn
chặn máy tính khỏi sử dụng để duyệt hoặc tiến hành
các công việc tương tác trực tuyến nào khác. (3) Nếu
bạn phải duyệt từ XP (và, hãy đối mặt với nó) hãy
sử dụng một trình duyệt như Firefox hoặc Chromium
mà vẫn còn đang được cập nhật.
(4) ĐI TỚI 1”. Lưu
ý: Việt
Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính,
chiếm 45.65% máy tính cả nước còn chạy Windows XP hết
hỗ trợ kỹ thuật từ 08/04/2014.
Hơn nữa, các
dịch vụ công của Việt Nam chỉ chạy được trên trình
duyệt web Microsoft Internet Explorer.
Lưu
ý nhanh nhắc bạn rằng ngày mai là Bản vá ngày thứ Ba,
nên đây là những gì sẽ kỳ vọng.
Con
số là “2 trong số 8”, với 8 bản tin an ninh, 2 trong số
đó được xếp hạng là Sống còn.
Đứng
đầu danh sách, theo cả nghĩa đen và nghĩa bóng, là cuộn
tích lũy của Internet Explorer (IE) thường thấy, với tất
cả các phiên bản IE được hỗ trợ có các bản vá.
Trên
các nền tảng không phải máy chủ, Microsoft đã xếp hạng
Bản tin số 1, bản vá IE, như là sống còn từ IE 6 cho
tới IE 11, cả các phiên bản 32 bit và 64 bit, trên các vi
xử lý Intel và ARM.
Không
giống như bản vá ngày số 0 đã phát hành giữa tháng
cho CVE-2014-1776 (cuộc tấn công mà có thể bị đánh biên
bằng việc tắt phần bổ sung thêm (add-in) đồ họa trung
gian của IE), Microsoft đã không thương xót những người
sử dụng XP lần này.
Không
có các bản vá cho những người sử dụng XP, không cho
IE, và không có bất kỳ thành phần nào của Windows,
hệt như Microsoft đã công bố khoảng 7 năm về trước.
Khuyến
cáo của chúng tôi cho XP đã định đoạt rồi, luôn là:
- Không chạy XP.
- Nếu bạn phải chạy XP, hãy sử dụng Kiểm soát Ứng dụng (Application Control) để ngăn chặn máy tính khỏi sử dụng để duyệt hoặc tiến hành các công việc tương tác trực tuyến nào khác.
- Nếu bạn phải duyệt từ XP (và, hãy đối mặt với nó) hãy sử dụng một trình duyệt như Firefox hoặc Chromium mà vẫn còn đang được cập nhật.
- ĐI TỚI 1.
Dường
như sẽ không còn bất kỳ bản vá nào nữa tháng này mà
đáng giá hoặc biết trước đủ đối với Microsoft để
công bố chính xác các chi tiết trước.
Đôi
khi xảy ra, như nó đã từng làm vào tháng trước khi một
lỗi ngày số 0 đã khai thác một chỗ bị tổn thương
trong việc mở các tệp RTF đã được vá, và Trung tâm
Nghiên cứu An ninh của Microsoft đã đưa ra các chi tiết
một tuần trước Bản vá ngày thứ Ba.
Tháng
này, những người Nghiên cứu An ninh đã giữ nó đơn
giản, thường có nghĩa là tất cả các bản vá là cho
các chỗ bị tổn thương được tiết lộ một cách riêng
tư:
Các
bản cập nhật [Tháng 05/2014] sẽ giải quyết các chỗ bị
tổn thương cho Khung .NET, Office, Internet Explorer và Windows.
Như
bạn có thể kỳ vọng, bản vá khung .NET sáp dụng hầu
hết cho tất cả các hệ điều hành được hỗ trợ, máy
chủ và máy để bàn.
Thú
vị, nền tảng duy nhất không bị ảnh hưởng là Windows
Server 2008; bản R2 của Server 2008 sẽ đòi hỏi bản vá.
Lưu
ý rằng bản vá này áp dụng cho Server Core cũng như các
cài đặt máy chủ đầy đủ.
Bản
vá cho .NET, bản tin số 5, làm việc với một lỗi leo
thang quyền ưu tiên (EoP); vì các EoP không đưa abạn vào
một máy tính bị tổn thương ngay từ đầu, nên chúng
thường có mức khắc nghiệt là Quan trọng, như trong
trường hợp này.
Nhưng,
như chúng tôi giải thích trong podcast Techknow phổ biến
của chúng tôi về các chỗ bị tổn thương, một EoP
thường có thể được một kẻ tấn công sử dụng để
biến một lỗ hổng chạy mã ở xa mức người sử dụng
thành một chỗ bị tổn thương mức hệ thống đầy đủ.
Các
phiên bản Office có các bản vá là: 2007, 2010, 2013 và 2013
RT; những người sử dụng Office for Mac có thể thư dãn
nghỉ ngơi lần này.
Và
các thành phần phần mềm máy chủ có các bản vá bao
gồm: SharePoint, SharePoint Designer và Office WebApps trong các
phiên bản 2010 và 2013 của chúng.
Ồ,
và kế hoạch về khởi động lại: bản vá IE đòi hỏi
nó, và bản tin số 6 cũng vậy, một bản và EoP cho bản
thân Windows mà áp dụng khắp nơi, bao gồm cả Server Core.
Mừng
hạnh phúc ngày thứ Ba nhé!
A
quick note to remind you that tomorrow is Patch Tuesday, so here's
what to expect.
The
scorecard is "2 from 8", with eight security bulletins due,
two of which are rated Critical.
Top
of the list, literally and figuratively, is the usual Internet
Explorer (IE) cumulative rollup, with all supported versions of IE
getting patches.
On
non-server platforms, Microsoft has rated Bulletin One, the IE patch,
as critical from IE 6 to IE 11, for 32-bit and 64-bit versions, on
Intel and ARM processors.
Unlike
the zero-day patch that came out mid-month for CVE-2014-1776 (the
attack that could be sidestepped by turning off IE's vector graphics
addin), Microsoft has not taken pity on XP users this time.
There
are no patches for XP users, not for IE, and not for any other
component of Windows, just like Microsoft announced some seven years
ago.
Our
advice for XP diehards, as always, is:
- Don't run XP.
- If you have to run XP, use Application Control to prevent the computer being used for browsing or other interactive online work.
- If you have to browse from XP (and, let's face it, you don't), use a browser like Firefox or Chromium that is still being updated.
- GOTO 1.
There
don't seem to be any patches this month that are newsworthy or
anticipated enough for Microsoft to announce precise details in
advance.
That
sometimes happens, as it did last month when a zero-day that
exploited a vulnerability in opening RTF files was patched, and
Microsoft's Security Research Center gave out the details the week
before Patch Tuesday.
This
month, the Security Research guys have kept it simple, which usually
means that all the patches are for privately disclosed
vulnerabilities:
[The May 2014] updates will address vulnerabilities for .NET
Framework, Office, Internet Explorer, and Windows.
As
you might expect, the .NET framework patch applies to almost all
supported operating systems, server and desktop alike.
Intriguingly,
the only platform unaffected is Windows Server 2008; the R2 flavour
of Server 2008 will require the patch.
Note
that this patch applies to Server Core as well as to full-blown
server installs.
The
.NET patch, Bulletin Five, deals with an elevation of privilege (EoP)
flaw; because EoPs don't get you into a vulnerable computer in the
first place, they usually attract a severity level of Important, as
in this case.
But,
as we explain in our popular Techknow podcast on vulnerabilities, an
EoP can often be used by an attacker to turn a user-level remote code
execution hole into a full system-level compromise.
The
Office versions getting patches are: 2007, 2010, 2013 and 2013 RT;
Office for Mac users can relax this time.
And
the server software components getting patches include: SharePoint,
SharePoint Designer and Office WebApps in their 2010 and 2013
flavours.
Oh,
and plan on rebooting: the IE patch requires it, and so does Bulletin
Six, an EoP patch for Windows itself that applies everywhere,
including Server Core.
Have
a happy Tuesday!
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.