Microsoft
to Patch IE Again Next Week; Adobe to Clean Up Reader, Acrobat
by
Michael Mimoso, May 8, 2014 , 3:48 pm
Theo:
http://threatpost.com/microsoft-to-patch-ie-again-next-week-adobe-to-clean-up-reader-acrobat/105993
Bài
được đưa lên Internet ngày: 08/04/2014
Lời
người dịch: Sẽ có 2 thông báo lỗi sống còn cho Bản
vá ngày thứ Ba hàng tháng của Microsoft cho tháng 05/2014,
được phát hành vào ngày thứ ba, 14/05/2014. Một là miếng
vá cho lỗi sống còn trong trình duyệt web IE các phiên bản
từ 6 tới 11. Tuy nhiên: “Miếng
vá ngoài dự kiến trong tuần trước, MS14-021,
cũng từng được làm cho sẵn sàng cho các máy XP bất
chấp Microsoft kết thúc hỗ trợ cho hệ điều hành này
vào ngày 08/04. Microsoft nói bản
vá tuần sau sẽ không có cho các máy XP”.
“Bản tin sống còn thứ 2 ảnh
hưởng tới SharePoint Server 2007 SP 3, SharePoint Server 2010 và
2013, cũng như Office Web Apps 2010 và 2013. 6
bản tin còn lại được Microsoft xếp hạng Quan trọng và
ảnh hưởng tới một số sản phẩm từ Office, tới
Windows, tới .NET”. Bạn có
thể xem lịch cho Bản vá ngày thứ Ba hàng tháng của
Microsoft cho năm 2014 ở địa chỉ:
http://www.its.ms.gov/Services/Pages/Security-Calendar-of-Events.aspx.
Lưu ý: Việt
Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính,
chiếm 45.65% máy tính cả nước còn chạy Windows XP hết
hỗ trợ kỹ thuật từ 08/04/2014. Hơn
nữa, các
dịch vụ công của Việt Nam chỉ chạy được trên trình
duyệt web Microsoft Internet Explorer.
Một
tuần sau khi phát hành một bản
vá ngoài dự kiến cho một lỗi ngày số 0 của Internet
Explorer, Microsoft đã cung cấp một thông báo trước
rằng các
bản cập nhật an ninh của Bản vá ngày thứ Ba sẽ
bao gồm miếng vá sống còn khác cho trình duyệt đó.
Thông
báo về IE là một trong 2 thống báo sống còn được kỳ
vọng vào tuần sau; nó đủ thú vị để lăn ngược lại
về Windows Server 2003 Service Pack 2 và IE 6, mà IE 6 cũng từng
chạy trên Windows XP. Miếng vá ngoài dự
kiến trong tuần trước, MS14-021,
cũng từng được làm cho sẵn sàng cho các máy XP bất
chấp Microsoft kết thúc hỗ trợ cho hệ điều hành này
vào ngày 08/04. Microsoft nói bản vá tuần sau sẽ không có
cho các máy XP.
“CTO
phụ trách chất lượng Wolfgang Kandek nói sửa lỗi IE cũng
sẽ vá các chỗ bị tổn thương bị tiết lộ trong quá
trình cuộc thi Pwn2Own của năm, đã diễn ra hồi tháng 3,
đã giới thiệu 3
chỗ bị tổn thương mới của IE, 2 trong số lỗi bị
bỏ qua trong hộp cát đó do
nhà cung cấp VUPEN của Pháp phát triển. Các nhà nghiên
cứu Sebastian Apelt và Andreas Schmidt, trong lúc chờ đợi,
đã xâu chuỗi 2 chỗ bị tổn thương bị sử dụng sau
khi bị tiết lộ trong trình duyệt và một lỗi nhân để
đột nhập vào hệ thống nằm bên dưới”.
Miếng
vá cho XP tuần trước từng là một sự ngạc nhiên, nhưng
có khả năng được một sự bùng phát trong các cuộc tấn
công nhắc nhở, đặc biệt nhằm vào những người sử
dụng XP. Sự
khai thác lỗi ngày số 0 đó ban đầu đã nhằm vào những
người sử dụng IE 9 tới IE 11 và
từng được sử dụng cùng với một khai thác của Adobe
Flash để làm tổn thương các máy tính. Các nhà nghiên
cứu ở FireEye
sau đó đã nêu các cuộc tấn công bổ sung chống lại IE
8 chạy trên các máy XP.
Nhà
nghiên cứu chính ở Kaspersky Lab
Kurt Baumgartner đã nói các khai thác bùng phát đã đưa vào
Trojan các phiên bản Pirpi truy cập từ xa để ăn cắp các
dữ liệu từ các máy tính bị đột nhập.
Bản
tin sống còn thứ 2 ảnh hưởng tới SharePoint Server 2007
SP 3, SharePoint Server 2010 và 2013, cũng như Office Web Apps
2010 và 2013.
6
bản tin còn lại được Microsoft xếp hạng Quan trọng và
ảnh hưởng tới một số sản phẩm từ Office, tới
Windows, tới .NET.
Nghiêm
trọng nhất có thể là một lỗi thực thi mã ở xa trong
Office 2007, 2010 và 2013. Microsoft cũng đang vá một lỗi
tính năng bị bỏ qua về an ninh trong Office.
“Nó
được xếp hạng Quan trọng và đưa ra RCE cho kẻ tấn
công, chỉ định rằng vật trung gian của kẻ tấn công
(attackẻ vector) là một tài liệu độc hại mà cái đích
phải mở để làm bật dậy cuộc tấn công”, Kandek nói.
“Những kẻ tấn công có thể sử dụng tài liệu đó,
ví dụ bằng việc làm cho nó xuất hiện khi tới từ
phòng nhân sự của người sử dụng hoặc thông tin hứa
hẹn về một chủ đề mà người sử dụng có quan tâm”.
4
bản tin giải quyết miếng vá trong Windows và .NET cho sự
leo quyền ưu tiên và các chỗ bị tổn thương từ chối
dịch vụ tất cả đều quay ngược về với Windows Server
2003.
Adobe
sẽ vá Reader và Acrobat
Adobe,
trong khi chờ đợi, cũng lên kế hoạch phát hành một
miếng vá cho một chỗ bị tổn thương trong các phiên bản
Adobe Readẻ và Acrobat chạy trên Windows và Mac OS X. Adobe
nói còn chưa rõ các khai thác tích cực đối với chỗ bị
tổn thương đó, nó là trong các phiên bản 10.1.9 và
11.0.06 và trước đó đối với cả 2 sản phẩm.
Adobe
đã đưa ra chỗ bị tổn thương với xếp hạng mang tính
sống còn cao nhất, chỉ định các lỗi đó có khả năng
bị khai thác ở xa.
One
week after releasing an out-of-band
patch for an Internet Explorer zero day, Microsoft has provided a
head’s up that next week’s Patch
Tuesday security updates will include another critical patch for
the browser.
The
IE roll-up is one of two critical bulletins expected next week;
interestingly enough it rolls back to Windows Server 2003 Service
Pack 2 and IE 6, which also ran on Windows XP. Last week’s
out-of-band patch, MS14-021,
was also made available for XP systems despite Microsoft ending
support for the OS on April 8. Microsoft said next week’s patch
will not be for XP machines.
“Our
existing policy remains in place, and as such, Microsoft no longer
supports Windows XP. We continue to encourage customers to migrate to
a modern operating system, such as Windows 7 or 8.1,” a Microsoft
spokesman said.
Qualys
CTO Wolfgang Kandek said the IE fix should also patch vulnerabilities
disclosed during the year’s Pwn2Own competition at CanSecWest.
”This update should be high on your list,” he said.
Pwn2Own,
held in March, produced three
new IE vulnerabilities, two of them sandbox
bypasses developed by vulnerability vendor VUPEN of France.
Researchers Sebastian Apelt and Andreas Schmidt, meanwhile, chained
two use-after-free vulnerabilities in the browser and a kernel bug to
hack the underlying system.
Last
week’s XP patch was a surprise, but was likely prompted by an
uptick in attacks specifically targeting XP users. The
zero day exploit targeted IE 9 through IE 11 users initially and
was used alongside an Adobe Flash exploit to compromise computers.
Researchers at FireEye
then reported additional attacks against IE 8 running on XP systems.
Kaspersky
Lab principal researcher Kurt Baumgartner said the exploits in the
wild were dropping versions of the Pirpi remote access Trojan in
order to steal data from hacked computers.
The
second critical bulletin affects SharePoint Server 2007 SP 3,
SharePoint Server 2010 and 2013 as well as Office Web Apps 2010 and
2013.
The
remaining six bulletins are rated Important by Microsoft and affect a
number of products from Office, to Windows, to .NET.
The
most serious could be a remote code execution bug in Office 2007,
2010 and 2013. Microsoft is also patching a security feature bypass
in Office.
“It
is rated important and provides RCE to the attacker, indicating that
the attacker vector is a malicious document that the target has to
open in order to trigger the attack,” Kandek said. “Attackers
would use a document like that in a social engineering attack, which
aims at convincing the user to open the document, for example by
making it appear as coming from the user’s HR department or
promising information about a subject of interest to the user.”
The
four bulletins addressing Windows and .NET patch elevation of
privilege and denial of service vulnerabilities all the way back to
Windows Server 2003.
Adobe
to Patch Reader and Acrobat
Adobe,
meanwhile, also plans to release a patch for a vulnerability in the
Windows and Mac OS X versions of Adobe Reader and Acrobat. Adobe said
it is not aware of active exploits against the vulnerability, which
is in versions 10.1.9 and 11.0.06 and earlier of both products.
Adobe
has given the vulnerability its highest criticality rating,
indicating the bugs are remotely exploitable.
Dịch: Lê Trung
Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.