Internet
Explorer Flaw Finally Fixed in June Patch Tuesday
By
Jill ScharrJune 9, 2014 9:38 AM - Source: Tom's Guide US
Bài
được đưa lên Internet ngày: 09/06/2014
Lời
người dịch: Nếu trong Bản
vá ngày thứ Ba tháng 5/2014 có 8 bản tin,
trong đó có 2 liên quan tới các lỗi sống còn trong IE và
SharePoint Server, thì trong Bản
vá ngày thứ Ba tháng 6/2014, ra ngày thứ ba, 10/06/2014, đã
có 7 bản tin, trong đó cũng có 2 bản tin cho các lỗi sống
còn trong IE8 và Microsoft
Windows, Office và Lync. Lỗi sống
còn trong IE lần này được vá là lỗi mà Microsoft đã
biết từ khoảng 6 tháng trước. Không
có bản vá nào cho Windows
XP. Lưu
ý: Việt
Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính,
chiếm 45.65% máy tính cả nước còn chạy Windows XP hết
hỗ trợ kỹ thuật từ 08/04/2014.
Hơn nữa, các
dịch vụ công của Việt Nam chỉ chạy được trên trình
duyệt web Microsoft Internet Explorer.
Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
Hầu
hết đúng lúc này của tháng - là lúc cho Bản vá ngày
thứ Ba! Đây là ngày đặc biệt khi Microsoft phát hành các
bản nâng cấp mới nhất và các sửa lỗi an ninh của
hãng. Bản và ngày thứ Ba lần này, ngày 10/06/2014,
Microsoft được kỳ vọng phát hành một bản vá cho một
lỗi IE8 được cho là hãng đã biết khoảng 6 tháng trước.
Tổng
cộng có 7 bản tin an ninh đã được đưa vào trong cảnh
báo trước ngày Bản vá ngày thứ Ba thường xuyên này
của Microsoft, 2 trong số đó được xếp hạng nghiêm
trọng “sống còn”, cao nhất có thể.
Microsoft
chỉ định các lỗi sống còn là các lỗi cho phép thực
thi mã ở xa mà không cần biết tới người sử dụng hợp
pháp. Trong một kịch bản như vậy, một kẻ tấn công
bên ngoài có thể chiếm quyền kiểm soát một máy tính
bị ngắm đích và (thường) có tất cả các quyền hệ
thống y hệt như đã làm mà người sử dụng không may đã
đăng nhập vào khi cuộc tấn công đã bắt đầu.
Bản
tin sống còn đầu tiên liên quan tới lỗi bây giờ đang
nổi tiếng của IE8, được Sáng kiến Ngày số 0 (ZDI) của
HP phát hiện vài tuần trước, một chương trình 'vá lỗi
có thưởng' mà nó thưởng cho các chuyên gia phát hiện và
mở ra các chỗ bị tổn thương. Được cho là, ZDI đã
liên hệ với Microsoft từ tháng 10 về một lỗi nghiêm
trọng trong IE8 (và chỉ IE8; các phiên bản khác trình
duyệt của Microsoft dường như không bị ảnh hưởng vì
lỗi đặc biệt này).
ZDI
nói Microsoft đã chưa bao giờ đáp lời, nên theo chính
sách của ZDI về tiết lộ các lỗi công khai trong vòng
180 ngày kể từ khi phát hiện, các quản trị chương
trình đã mở vấn đề vào cuối tháng 5.
IE8
là phiên bản mới nhất tương thích với Windows
XP, mà Microsoft đã dừng hỗ trợ vào tháng 4. Liệu
Microsoft đã cho về hưu XP có biết rằng một chỗ bị
tổn thương nghiêm trọng vẫn còn có ở một trong các
chương trình chính của XP hay không?
Trả
lời cho sự mở ra của ZDI, Microsoft đã nói rằng hãng có
thể vá lỗi IE8 này, những đã không chỉ định khi nào.
Giám đốc an ninh của Microsoft Dustin
Childs đã khẳng định trong một bài trên blog rằng
Bản tin số 1 là về lỗi đó; nó làm việc với sự thực
thi mã ở xa trên tất cả các phiên bản được hỗ trợ
của IE (từ phiên bản 6 tới 11) trong tất cả các phiên
bản được hỗ trợ của Windows cho các máy để bàn
(Vista, 7, 8 và 8.1, và RT và RT 8.1) và Windows Server (2003,
2008, 2008 R2, 2012, 2012 R2 và Server Core).
Bản
tin số 2 làm việc với một lỗi sống còn trong Microsoft
Windows, Office và Lync (một trình thông điệp tức thì cho
máy trạm được đưa vào sẵn trong Office). Nó ảnh hưởng
tới tất cả các phiên bản được hỗ trợ của Windows
Server cũng như Microsoft Office 2007 Service Pack 3, Office 2010
Service pack 1 và 2, Microsoft Live Meetings 2007, Microsoft Lync
2010 và Lync 2013.
5
bản tin khác tất cả được xếp hạng “Quan trọng”,
xếp hạng độ nghiêm trọng cao nhất thứ 2. Bản tin số
3 dường như là nghiêm trọng nhất, khi nó cũng liên quan
tới sự thực thi mã ở xa, mà nó chỉ ảnh hưởng tới
Microsoft Word 2007 Service Pack 3 và Office Compatibility Pack
Service Pack 3.
Chúng
tôi sẽ không biết cho tới chiều ngày thứ Ba chính xác
những gì sẽ diễn ra với lỗi này, nhưng trong quá khứ,
các lỗi thực thi mã ở xa từng được cho thành “Quan
trọng” thày vì “Sống còn” nếu hành động của
người sử dụng là cần thiết vì một khai thác thành
công.
Bản
tin số 4 và 5 làm việc với các tiết lộ thông tin, hoặc
khi phần mềm không bảo vệ đúng mực các dữ liệu đi
qua nó, dẫn tới sự “rò rỉ” thông tin. Cái đầu liên
quan tới hầu hết các bản nâng cấp gần đây các phần
mềm cũ hơn - máy để bàn Windows Vista Service Pack 2 và
Windows 7 Service Pack 1, và Windows Server 2003 Server Pack 2, 2008
Service Pack 2 và 2008 R2 Service Pack 1 — cũng như máy để
bàn hiện hành với Windows 8 và 8.1, máy tính bảng RT và
RT 8.1, và Windows Server 2012. Bản tin số 5 ảnh hưởng tới
Lync Server 2010 và Lync Server 2013.
Bản
tin cố 6 làm việc với một lỗi từ chối dịch vụ trên
máy trạm Vista Service Pack 2, Windows 7 Service Pack 1, Windows 8
và Windows 8.1, máy tính bảng RT và RT 8.1, và Windows Server
2008 Service Pack 2, 2008 R2 Service Pack 1, 2012 và 2012 R2.
Và
cuối cùng, bản tin số 7 làm việc với một lỗi làm giả
mạo trong Microsoft Windows 7, Server 2008 R2, 8, 8.1, Server 2012
and 2012 R2.
Chúng
tôi sẽ đưa Bản vá ngày thứ Ba lên khi tự các bản cập
nhật được phát hành, cùng với nhiều giải thích chi
tiết hơn về các vấn đề chúng giải quyết.
It's
almost that time of the month — time for Patch Tuesday! It's that
special day when Microsoft releases its latest upgrades and security
fixes. This Patch Tuesday, June 10, Microsoft is expected to release
a patch for an Internet Explorer 8 bug it allegedly knew about six
months ago.
A
total of seven security bulletins were included in Microsoft's
customary pre-Patch Tuesday alert, two of which have been given a
"critical" severity rating, the highest possible.
Microsoft
designates as critical flaws those that allow remote code execution
without the knowledge of the legitimate user. In such a scenario, an
external attacker could seize control of a targeted computer and
(usually) gets all the same system permissions as did the hapless
user who was logged in when the attack began.
The
first critical bulletin concerns the now-infamous Internet Explorer 8
bug, disclosed a few weeks ago by Hewlett-Packard's Zero Day
Initiative (ZDI), a "bug bounty" program that rewards
experts who discover and disclose security vulnerabilities.
Allegedly, ZDI contacted Microsoft back in October about a serious
flaw in IE 8 (and only IE 8; other versions of Microsoft's browser
appear unaffected by this particular flaw).
ZDI
says Microsoft never responded, so according to ZDI's policy of
publicly disclosing bugs within 180 days of discovery, program
administrators disclosed
the issue in late May.
IE
8 is the last version of Internet Explorer that is compatible with
Windows XP, which Microsoft stopped supporting in April. Did
Microsoft retire XP knowing that a serious vulnerability remained on
one of XP's main programs?
In
response to ZDI's disclosure, Microsoft responded that it would patch
this IE 8 flaw, but didn't specify when. Microsoft security manager
Dustin
Childs confirmed in a blog post that Bulletin One is about that
fix; it deals with remote code execution on all supported versions of
Internet Explorer (6 through 11) on all supported versions of desktop
Windows (Vista, 7, 8 and 8.1, and RT and RT 8.1) and Windows Server
(2003, 2008, 2008 R2, 2012, 2012 R2 and Server Core).
Bulletin
Two deals with a critical flaw in Microsoft Windows, Office and Lync
(an Office-bundled instant-messaging client). It affects all
supported versions of Windows Server as well as Microsoft Office 2007
Service Pack 3, Office 2010 Service pack 1 and 2, Microsoft Live
Meetings 2007, Microsoft Lync 2010 and Lync 2013.
The
other five bulletins are all rated "Important," the
second-highest severity rating. Bulletin 3 appears to be the most
serious, as it also involves remote code execution, but it only
affects Microsoft Word 2007 Service Pack 3 and Office Compatibility
Pack Service Pack 3.
We
won't know until Tuesday afternoon exactly what's going on with this
flaw, but in the past, remote-code-execution flaws have been deemed
"Important" rather than "Critical" if user action
is necessary for a successful exploit.
Bulletins
4 and 5 deal with information disclosure, or when software doesn't
adequately protect data that passes through it, leading to "leakage"
of information. The first concerns the most recent updates of older
software — desktop Windows Vista Service Pack 2 and Windows 7
Service Pack 1, and Windows Server 2003 Server Pack 2, 2008 Service
Pack 2 and 2008 R2 Service Pack 1 — as well as the current desktop
Windows 8 and 8.1, tablet RT and RT 8.1, and Windows Server 2012.
Bulletin 5 affects Lync Server 2010 and Lync Server 2013.
Bulletin
6 deals with a denial-of-service flaw on desktop Vista Service Pack
2, Windows 7 Service Pack 1, Windows 8 and Windows 8.1, tablet RT and
RT 8.1, and Windows Server 2008 Service Pack 2, 2008 R2 Service Pack
1, 2012 and 2012 R2.
And
finally, Bulletin 7 has to do with a tampering flaw on Microsoft
Windows 7, Server 2008 R2, 8, 8.1, Server 2012 and 2012 R2.
We'll
post on Patch Tuesday when the updates themselves come out, along
with more detailed explanations of the issues they address.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.