Thứ Hai, 12 tháng 5, 2014

Microsoft sẽ phát hành các bản vá an ninh cho Internet Explorer và SharePoint Server


Microsoft to release critical Internet Explorer and SharePoint Server security patches
by Alastair Stevenson, 09 May 2014
Bài được đưa lên Internet ngày: 09/05/2014
Lời người dịch: Trong Ngày thứ Ba Vá tháng Năm (May Tuesday Patch) năm 2014 của Microsoft, được phát hành vào ngày 13/05/2014, có một lưu ý quan trọng từ lãnh đạo cao cấp của Rapid7 về kỹ thuật an ninh Ross Barrett: Barrett đã bổ sung thêm rằng lỗi của IE đặc biệt nguy hiểm vì nó cũng ảnh hưởng tới hệ điều hành Windows XP của Microsoft mà không còn được hỗ trợ nữa. Lỗi sống còn của IE trước hết rõ ràng có thể áp dụng cho Windows XP, nhưng đối với nó thì một bản vá còn chưa sẵn sàng”. Vì ở Việt Nam các phần mềm nguồn đóng của Microsoft được chấp nhận một cách 'đương nhiên', không phải qua quá trình 'kiểm duyệt' như đối với các phần mềm tự do nguồn mở, nên các lỗi của các phần mềm của Microsoft, dù là sống còn hay không, có lẽ mọi người cũng coi là 'đương nhiên được chấp nhận', và sẽ luôn nói, nó an ninh hơn chăng?. Bạn có thể xem lịch cho Bản vá ngày thứ Ba hàng tháng của Microsoft cho năm 2014 ở địa chỉ: http://www.its.ms.gov/Services/Pages/Security-Calendar-of-Events.aspx. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer.
Microsoft đã cam kết phát hành các sửa lỗi an ninh sống còn cho Internet Explorer (IE) và các dịch vụ của máy chủ SharePoint, như một phần của bản cập nhật ngày thứ Ba Vá tháng Năm (May Tuesday Patch).
Các sửa lỗi của IE và máy chủ chỉ là 2 trong số 8 lỗi cho phát hành tuần sau sẽ được liệt kê như là sống còn.
Lãnh đạo cao cấp của Rapid7 về kỹ thuật an ninh Ross Barrett nói các sửa lỗi là sống còn khi chúng có thể, về mặt lý thuyết bị tin tặc khai thác từ ở xa.
“Ưu tiên vá chắc chắn là 2 lỗi sống còn, một trong số đó dường như ảnh hưởng tới nhiều thành phần của máy chủ SharePoint Server”, ông nói.
“Điều này có thể chứng minh sẽ là một vấn đề có thể bị khai thác từ xa một cách hợp pháp, và chắc chắn tôi có thể tập trung vào các tài nguyên chữa được trước”.
“Bản vá lỗi sống còn có ở khắp nơi trong IE là một là đứng gần thứ 2 về tầm quan trọng, từ quan điểm lưu ý cao cấp”.
Barrett đã bổ sung thêm rằng lỗi của IE đặc biệt nguy hiểm vì nó cũng ảnh hưởng tới hệ điều hành Windows XP của Microsoft mà không còn được hỗ trợ nữa.
“Lỗi sống còn của IE trước hết rõ ràng có thể áp dụng cho Windows XP, nhưng đối với nó thì một bản vá còn chưa sẵn sàng”, ông nói.
“IE6, 7 và 8 bị tổn thương trên Windows 2003 SP2. Điều này, về mặt lịch sử, có thể đã ánh xạ tới phạm vi y hệt các bản vá của XP, nhưng không phải lần này. Bất kỳ ai còn đang sử dụng XP chỉ có được ít an ninh hơn - không phải vì họ mới bắt đầu”.
Microsoft đã chính thức cắt hỗ trợ cho Windows XP vào tháng 4. Hãng ban đầu đã lần ngược lại về lời hứa của mình dừng phát hành các bản vá an ninh cho Windows CP khi một chỗ bị tổn thương ngày số 0 đã bị phát hiện trong IE vào đầu tháng 5.
6 bản cập nhật còn lại sẽ được phát hành vào tuần sau có liên quan tới mã của Microsoft Office và lõi của Windows và được Microsoft xếp loại quan trọng. Barrett nói còn chưa có thông tin của hãng về các chỗ bị tổn thương tạo ra sự nguy hiểm mà chúng đặt ra các khó khăn.
“Có các vấn đề quan trọng bằng việc áp dụng cho tất cả các phiên bản Windows và Office được hỗ trợ. Chúng quan trọng thế nào, sẽ trở nên rõ ràng hơn khi các khuyến cáo được phát hành”, ông nói.
Các bản vá sẽ được phát hành vào ngày 13/05 như một phần vòng cập nhật an ninh hàng tháng của Microsoft. Microsoft đã phát hành những gì từng được kỳ vọng sẽ là bản cập nhật an ninh cuối cùng của hãng cho Windows XP trong phát hành ngày thứ Ba Vá tháng Tư.
Microsoft has pledged to release critical security fixes for its Internet Explorer (IE) and SharePoint server services, as a part of its May Patch Tuesday update.
The IE and server fixes are the only two out of the eight due for release next week to be listed as critical.
Rapid7 senior manager of security engineering Ross Barrett said the fixes are critical as they could theoretically be exploited remotely by hackers.
"The patching priority is definitely the two critical issues, one of which seems to affect numerous components of SharePoint Server," he said.
"This may prove to be a legitimate remotely exploitable issue, and definitely where I would focus my remediation resources first.
"The omnipresent critical patch in IE is a close second in terms of importance, from the advance notice point of view."
Barrett added that the IE flaw is particularly dangerous as it also affects Microsoft's unsupported Windows XP operating system.
"The IE critical is the first that clearly would have applied to Windows XP, but for which a patch is not available," he said.
"IE 6, 7 and 8 are vulnerable on Windows 2003 SP2. This would historically have mapped to the same scope of XP patches, but not this time. Anyone still using XP just got a little less secure - not that they were well off to begin with."
Microsoft officially cut support for Windows XP in April. The firm originally backtracked on its promise to stop releasing security updates for Windows XP when a separate zero-day vulnerability was discovered in IE earlier in May.
The remaining six updates due to arrive next week relate to Microsoft's Office and core Windows code and are rated by Microsoft as important. Barrett said the lack of firm information about the vulnerabilities makes gauging the danger they pose difficult.
"There are important issues applying to all supported versions of Windows and Office. How important these are will become clearer when the advisories are released," he said.
The patches are set to be released on 13 May as part of Microsoft's monthly security update cycle. Microsoft released what was intended to be its final Windows XP security update in its April Patch Tuesday release.
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.