Microsoft
to release critical Internet Explorer and SharePoint Server security
patches
by
Alastair Stevenson, 09 May 2014
Bài
được đưa lên Internet ngày: 09/05/2014
Lời
người dịch: Trong
Ngày thứ Ba Vá tháng Năm (May Tuesday Patch) năm 2014 của
Microsoft, được phát hành vào ngày 13/05/2014, có một lưu
ý quan trọng từ lãnh
đạo cao cấp của Rapid7 về kỹ thuật an ninh Ross Barrett:
“Barrett
đã bổ sung thêm rằng
lỗi của IE đặc biệt nguy hiểm vì nó cũng ảnh hưởng
tới hệ điều hành Windows XP của Microsoft
mà không còn được hỗ trợ nữa. Lỗi sống còn của IE
trước hết rõ ràng có thể áp dụng cho Windows XP, nhưng
đối với nó thì một bản vá còn chưa sẵn sàng”.
Vì ở Việt Nam các phần mềm nguồn đóng của Microsoft
được chấp nhận một cách 'đương nhiên', không phải
qua quá trình 'kiểm duyệt' như đối với các phần mềm
tự do nguồn mở, nên các lỗi của các phần mềm của
Microsoft, dù là sống còn hay không, có lẽ mọi người
cũng coi là 'đương nhiên được chấp nhận', và sẽ luôn
nói, nó an ninh hơn chăng?. Bạn có
thể xem lịch cho Bản vá ngày thứ Ba hàng tháng của
Microsoft cho năm 2014 ở địa chỉ:
http://www.its.ms.gov/Services/Pages/Security-Calendar-of-Events.aspx.
Lưu ý: Việt
Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính,
chiếm 45.65% máy tính cả nước còn chạy Windows XP hết
hỗ trợ kỹ thuật từ 08/04/2014.
Hơn nữa, các
dịch vụ công của Việt Nam chỉ chạy được trên trình
duyệt web Microsoft Internet Explorer.
Microsoft
đã cam kết phát hành các sửa lỗi an ninh sống còn cho
Internet Explorer (IE) và các dịch vụ của máy chủ
SharePoint, như một phần của bản cập nhật ngày thứ Ba
Vá tháng Năm (May Tuesday Patch).
Các
sửa lỗi của IE và máy chủ chỉ là 2 trong số 8 lỗi
cho phát hành tuần sau sẽ được liệt kê như là sống
còn.
Lãnh
đạo cao cấp của Rapid7 về kỹ thuật an ninh Ross Barrett
nói các sửa lỗi là sống còn khi chúng có thể, về mặt
lý thuyết bị tin tặc khai thác từ ở xa.
“Ưu
tiên vá chắc chắn là 2 lỗi sống còn, một trong số đó
dường như ảnh hưởng tới nhiều thành phần của máy
chủ SharePoint Server”, ông nói.
“Điều
này có thể chứng minh sẽ là một vấn đề có thể bị
khai thác từ xa một cách hợp pháp, và chắc chắn tôi có
thể tập trung vào các tài nguyên chữa được trước”.
“Bản
vá lỗi sống còn có ở khắp nơi trong IE là một là đứng
gần thứ 2 về tầm quan trọng, từ quan điểm lưu ý cao
cấp”.
Barrett
đã bổ sung thêm rằng lỗi của IE đặc biệt nguy hiểm
vì nó cũng ảnh hưởng tới hệ điều hành Windows XP của
Microsoft mà
không còn được hỗ trợ nữa.
“Lỗi
sống còn của IE trước hết rõ ràng có thể áp dụng
cho Windows XP, nhưng đối với nó thì một bản vá còn
chưa sẵn sàng”, ông nói.
“IE6,
7 và 8 bị tổn thương trên Windows 2003 SP2. Điều này, về
mặt lịch sử, có thể đã ánh xạ tới phạm vi y hệt
các bản vá của XP, nhưng không phải lần này. Bất kỳ
ai còn đang sử dụng XP chỉ có được ít an ninh hơn -
không phải vì họ mới bắt đầu”.
Microsoft
đã chính thức cắt hỗ trợ cho Windows XP vào tháng 4.
Hãng ban đầu đã lần ngược lại về lời hứa của
mình dừng phát hành các bản vá an ninh cho Windows CP khi
một chỗ bị tổn thương ngày số 0 đã bị phát hiện
trong IE vào đầu tháng 5.
6
bản cập nhật còn lại sẽ được phát hành vào tuần
sau có liên quan tới mã của Microsoft Office và lõi của
Windows và được Microsoft xếp loại quan trọng. Barrett nói
còn chưa có thông tin của hãng về các chỗ bị tổn
thương tạo ra sự nguy hiểm mà chúng đặt ra các khó
khăn.
“Có
các vấn đề quan trọng bằng việc áp dụng cho tất cả
các phiên bản Windows và Office được hỗ trợ. Chúng quan
trọng thế nào, sẽ trở nên rõ ràng hơn khi các khuyến
cáo được phát hành”, ông nói.
Các
bản vá sẽ được phát hành vào ngày 13/05 như một phần
vòng cập nhật an ninh hàng tháng của Microsoft. Microsoft đã
phát hành những gì từng được kỳ vọng sẽ là bản
cập nhật an ninh cuối cùng của hãng cho Windows XP trong
phát hành ngày thứ Ba Vá tháng Tư.
Microsoft
has pledged to release critical security fixes for its Internet
Explorer (IE) and SharePoint server services, as a part of its May
Patch Tuesday update.
The
IE and server fixes are the only two out of the eight due for release
next week to be listed as critical.
Rapid7
senior manager of security engineering Ross Barrett said the fixes
are critical as they could theoretically be exploited remotely by
hackers.
"The
patching priority is definitely the two critical issues, one of which
seems to affect numerous components of SharePoint Server," he
said.
"This
may prove to be a legitimate remotely exploitable issue, and
definitely where I would focus my remediation resources first.
"The
omnipresent critical patch in IE is a close second in terms of
importance, from the advance notice point of view."
Barrett
added that the IE flaw is particularly dangerous as it also affects
Microsoft's unsupported Windows XP operating system.
"The
IE critical is the first that clearly would have applied to Windows
XP, but for which a patch is not available," he said.
"IE
6, 7 and 8 are vulnerable on Windows 2003 SP2. This would
historically have mapped to the same scope of XP patches, but not
this time. Anyone still using XP just got a little less secure - not
that they were well off to begin with."
Microsoft
officially cut support for Windows XP in April. The firm originally
backtracked on its promise to stop releasing security updates for
Windows XP when a separate zero-day vulnerability was discovered in
IE earlier in May.
The
remaining six updates due to arrive next week relate to Microsoft's
Office and core Windows code and are rated by Microsoft as important.
Barrett said the lack of firm information about the vulnerabilities
makes gauging the danger they pose difficult.
"There
are important issues applying to all supported versions of Windows
and Office. How important these are will become clearer when the
advisories are released," he said.
The
patches are set to be released on 13 May as part of Microsoft's
monthly security update cycle. Microsoft released what was intended
to be its final Windows XP security update in its April Patch Tuesday
release.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.