Microsoft vá IE một lần nữa vào tuần sau; Adobe sẽ làm sạch Reader, Acrobat

Microsoft to Patch IE Again Next Week; Adobe to Clean Up Reader, Acrobat

by Michael Mimoso, May 8, 2014 , 3:48 pm

Theo: http://threatpost.com/microsoft-to-patch-ie-again-next-week-adobe-to-clean-up-reader-acrobat/105993

Bài được đưa lên Internet ngày: 08/04/2014

Lời người dịch: Sẽ có 2 thông báo lỗi sống còn cho Bản vá ngày thứ Ba hàng tháng của Microsoft cho tháng 05/2014, được phát hành vào ngày thứ ba, 14/05/2014. Một là miếng vá cho lỗi sống còn trong trình duyệt web IE các phiên bản từ 6 tới 11. Tuy nhiên: “Miếng vá ngoài dự kiến trong tuần trước, MS14-021, cũng từng được làm cho sẵn sàng cho các máy XP bất chấp Microsoft kết thúc hỗ trợ cho hệ điều hành này vào ngày 08/04. Microsoft nói bản vá tuần sau sẽ không có cho các máy XP”. “Bản tin sống còn thứ 2 ảnh hưởng tới SharePoint Server 2007 SP 3, SharePoint Server 2010 và 2013, cũng như Office Web Apps 2010 và 2013. 6 bản tin còn lại được Microsoft xếp hạng Quan trọng và ảnh hưởng tới một số sản phẩm từ Office, tới Windows, tới .NET”. Bạn có thể xem lịch cho Bản vá ngày thứ Ba hàng tháng của Microsoft cho năm 2014 ở địa chỉ: http://www.its.ms.gov/Services/Pages/Security-Calendar-of-Events.aspx. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer.

Một tuần sau khi phát hành một bản vá ngoài dự kiến cho một lỗi ngày số 0 của Internet Explorer, Microsoft đã cung cấp một thông báo trước rằng các bản cập nhật an ninh của Bản vá ngày thứ Ba sẽ bao gồm miếng vá sống còn khác cho trình duyệt đó.

Thông báo về IE là một trong 2 thống báo sống còn được kỳ vọng vào tuần sau; nó đủ thú vị để lăn ngược lại về Windows Server 2003 Service Pack 2 và IE 6, mà IE 6 cũng từng chạy trên Windows XP. Miếng vá ngoài dự kiến trong tuần trước, MS14-021, cũng từng được làm cho sẵn sàng cho các máy XP bất chấp Microsoft kết thúc hỗ trợ cho hệ điều hành này vào ngày 08/04. Microsoft nói bản vá tuần sau sẽ không có cho các máy XP.

“CTO phụ trách chất lượng Wolfgang Kandek nói sửa lỗi IE cũng sẽ vá các chỗ bị tổn thương bị tiết lộ trong quá trình cuộc thi Pwn2Own của năm, đã diễn ra hồi tháng 3, đã giới thiệu 3 chỗ bị tổn thương mới của IE, 2 trong số lỗi bị bỏ qua trong hộp cát đó do nhà cung cấp VUPEN của Pháp phát triển. Các nhà nghiên cứu Sebastian Apelt và Andreas Schmidt, trong lúc chờ đợi, đã xâu chuỗi 2 chỗ bị tổn thương bị sử dụng sau khi bị tiết lộ trong trình duyệt và một lỗi nhân để đột nhập vào hệ thống nằm bên dưới”.

Miếng vá cho XP tuần trước từng là một sự ngạc nhiên, nhưng có khả năng được một sự bùng phát trong các cuộc tấn công nhắc nhở, đặc biệt nhằm vào những người sử dụng XP. Sự khai thác lỗi ngày số 0 đó ban đầu đã nhằm vào những người sử dụng IE 9 tới IE 11 và từng được sử dụng cùng với một khai thác của Adobe Flash để làm tổn thương các máy tính. Các nhà nghiên cứu ở FireEye sau đó đã nêu các cuộc tấn công bổ sung chống lại IE 8 chạy trên các máy XP.

Nhà nghiên cứu chính ở Kaspersky Lab Kurt Baumgartner đã nói các khai thác bùng phát đã đưa vào Trojan các phiên bản Pirpi truy cập từ xa để ăn cắp các dữ liệu từ các máy tính bị đột nhập.

Bản tin sống còn thứ 2 ảnh hưởng tới SharePoint Server 2007 SP 3, SharePoint Server 2010 và 2013, cũng như Office Web Apps 2010 và 2013.

6 bản tin còn lại được Microsoft xếp hạng Quan trọng và ảnh hưởng tới một số sản phẩm từ Office, tới Windows, tới .NET.

Nghiêm trọng nhất có thể là một lỗi thực thi mã ở xa trong Office 2007, 2010 và 2013. Microsoft cũng đang vá một lỗi tính năng bị bỏ qua về an ninh trong Office.

“Nó được xếp hạng Quan trọng và đưa ra RCE cho kẻ tấn công, chỉ định rằng vật trung gian của kẻ tấn công (attackẻ vector) là một tài liệu độc hại mà cái đích phải mở để làm bật dậy cuộc tấn công”, Kandek nói. “Những kẻ tấn công có thể sử dụng tài liệu đó, ví dụ bằng việc làm cho nó xuất hiện khi tới từ phòng nhân sự của người sử dụng hoặc thông tin hứa hẹn về một chủ đề mà người sử dụng có quan tâm”.

4 bản tin giải quyết miếng vá trong Windows và .NET cho sự leo quyền ưu tiên và các chỗ bị tổn thương từ chối dịch vụ tất cả đều quay ngược về với Windows Server 2003.

Adobe sẽ vá Reader và Acrobat

Adobe, trong khi chờ đợi, cũng lên kế hoạch phát hành một miếng vá cho một chỗ bị tổn thương trong các phiên bản Adobe Readẻ và Acrobat chạy trên Windows và Mac OS X. Adobe nói còn chưa rõ các khai thác tích cực đối với chỗ bị tổn thương đó, nó là trong các phiên bản 10.1.9 và 11.0.06 và trước đó đối với cả 2 sản phẩm.

Adobe đã đưa ra chỗ bị tổn thương với xếp hạng mang tính sống còn cao nhất, chỉ định các lỗi đó có khả năng bị khai thác ở xa.

One week after releasing an out-of-band patch for an Internet Explorer zero day, Microsoft has provided a head’s up that next week’s Patch Tuesday security updates will include another critical patch for the browser.

The IE roll-up is one of two critical bulletins expected next week; interestingly enough it rolls back to Windows Server 2003 Service Pack 2 and IE 6, which also ran on Windows XP. Last week’s out-of-band patch, MS14-021, was also made available for XP systems despite Microsoft ending support for the OS on April 8. Microsoft said next week’s patch will not be for XP machines.

“Our existing policy remains in place, and as such, Microsoft no longer supports Windows XP. We continue to encourage customers to migrate to a modern operating system, such as Windows 7 or 8.1,” a Microsoft spokesman said.

Qualys CTO Wolfgang Kandek said the IE fix should also patch vulnerabilities disclosed during the year’s Pwn2Own competition at CanSecWest. ”This update should be high on your list,” he said.

Pwn2Own, held in March, produced three new IE vulnerabilities, two of them sandbox bypasses developed by vulnerability vendor VUPEN of France. Researchers Sebastian Apelt and Andreas Schmidt, meanwhile, chained two use-after-free vulnerabilities in the browser and a kernel bug to hack the underlying system.

Last week’s XP patch was a surprise, but was likely prompted by an uptick in attacks specifically targeting XP users. The zero day exploit targeted IE 9 through IE 11 users initially and was used alongside an Adobe Flash exploit to compromise computers. Researchers at FireEye then reported additional attacks against IE 8 running on XP systems.

Kaspersky Lab principal researcher Kurt Baumgartner said the exploits in the wild were dropping versions of the Pirpi remote access Trojan in order to steal data from hacked computers.

The second critical bulletin affects SharePoint Server 2007 SP 3, SharePoint Server 2010 and 2013 as well as Office Web Apps 2010 and 2013.

The remaining six bulletins are rated Important by Microsoft and affect a number of products from Office, to Windows, to .NET.

The most serious could be a remote code execution bug in Office 2007, 2010 and 2013. Microsoft is also patching a security feature bypass in Office.

“It is rated important and provides RCE to the attacker, indicating that the attacker vector is a malicious document that the target has to open in order to trigger the attack,” Kandek said. “Attackers would use a document like that in a social engineering attack, which aims at convincing the user to open the document, for example by making it appear as coming from the user’s HR department or promising information about a subject of interest to the user.”

The four bulletins addressing Windows and .NET patch elevation of privilege and denial of service vulnerabilities all the way back to Windows Server 2003.

Adobe to Patch Reader and Acrobat

Adobe, meanwhile, also plans to release a patch for a vulnerability in the Windows and Mac OS X versions of Adobe Reader and Acrobat. Adobe said it is not aware of active exploits against the vulnerability, which is in versions 10.1.9 and 11.0.06 and earlier of both products.

Adobe has given the vulnerability its highest criticality rating, indicating the bugs are remotely exploitable.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com