Lỗi của Internet Explorer cuối cùng được sửa trong Bản vá ngày thứ Ba tháng 6

Internet Explorer Flaw Finally Fixed in June Patch Tuesday

By Jill ScharrJune 9, 2014 9:38 AM - Source: Tom's Guide US

Theo: http://www.tomsguide.com/us/patch-tuesday-june,news-18917.html

Bài được đưa lên Internet ngày: 09/06/2014

Lời người dịch: Nếu trong Bản vá ngày thứ Ba tháng 5/2014 có 8 bản tin, trong đó có 2 liên quan tới các lỗi sống còn trong IE và SharePoint Server, thì trong Bản vá ngày thứ Ba tháng 6/2014, ra ngày thứ ba, 10/06/2014, đã có 7 bản tin, trong đó cũng có 2 bản tin cho các lỗi sống còn trong IE8 và Microsoft Windows, Office và Lync. Lỗi sống còn trong IE lần này được vá là lỗi mà Microsoft đã biết từ khoảng 6 tháng trước. Không có bản vá nào cho Windows XP. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.

Hầu hết đúng lúc này của tháng - là lúc cho Bản vá ngày thứ Ba! Đây là ngày đặc biệt khi Microsoft phát hành các bản nâng cấp mới nhất và các sửa lỗi an ninh của hãng. Bản và ngày thứ Ba lần này, ngày 10/06/2014, Microsoft được kỳ vọng phát hành một bản vá cho một lỗi IE8 được cho là hãng đã biết khoảng 6 tháng trước.

Tổng cộng có 7 bản tin an ninh đã được đưa vào trong cảnh báo trước ngày Bản vá ngày thứ Ba thường xuyên này của Microsoft, 2 trong số đó được xếp hạng nghiêm trọng “sống còn”, cao nhất có thể.

Microsoft chỉ định các lỗi sống còn là các lỗi cho phép thực thi mã ở xa mà không cần biết tới người sử dụng hợp pháp. Trong một kịch bản như vậy, một kẻ tấn công bên ngoài có thể chiếm quyền kiểm soát một máy tính bị ngắm đích và (thường) có tất cả các quyền hệ thống y hệt như đã làm mà người sử dụng không may đã đăng nhập vào khi cuộc tấn công đã bắt đầu.

Bản tin sống còn đầu tiên liên quan tới lỗi bây giờ đang nổi tiếng của IE8, được Sáng kiến Ngày số 0 (ZDI) của HP phát hiện vài tuần trước, một chương trình 'vá lỗi có thưởng' mà nó thưởng cho các chuyên gia phát hiện và mở ra các chỗ bị tổn thương. Được cho là, ZDI đã liên hệ với Microsoft từ tháng 10 về một lỗi nghiêm trọng trong IE8 (và chỉ IE8; các phiên bản khác trình duyệt của Microsoft dường như không bị ảnh hưởng vì lỗi đặc biệt này).

ZDI nói Microsoft đã chưa bao giờ đáp lời, nên theo chính sách của ZDI về tiết lộ các lỗi công khai trong vòng 180 ngày kể từ khi phát hiện, các quản trị chương trình đã mở vấn đề vào cuối tháng 5.

IE8 là phiên bản mới nhất tương thích với Windows XP, mà Microsoft đã dừng hỗ trợ vào tháng 4. Liệu Microsoft đã cho về hưu XP có biết rằng một chỗ bị tổn thương nghiêm trọng vẫn còn có ở một trong các chương trình chính của XP hay không?

Trả lời cho sự mở ra của ZDI, Microsoft đã nói rằng hãng có thể vá lỗi IE8 này, những đã không chỉ định khi nào. Giám đốc an ninh của Microsoft Dustin Childs đã khẳng định trong một bài trên blog rằng Bản tin số 1 là về lỗi đó; nó làm việc với sự thực thi mã ở xa trên tất cả các phiên bản được hỗ trợ của IE (từ phiên bản 6 tới 11) trong tất cả các phiên bản được hỗ trợ của Windows cho các máy để bàn (Vista, 7, 8 và 8.1, và RT và RT 8.1) và Windows Server (2003, 2008, 2008 R2, 2012, 2012 R2 và Server Core).

Bản tin số 2 làm việc với một lỗi sống còn trong Microsoft Windows, Office và Lync (một trình thông điệp tức thì cho máy trạm được đưa vào sẵn trong Office). Nó ảnh hưởng tới tất cả các phiên bản được hỗ trợ của Windows Server cũng như Microsoft Office 2007 Service Pack 3, Office 2010 Service pack 1 và 2, Microsoft Live Meetings 2007, Microsoft Lync 2010 và Lync 2013.

5 bản tin khác tất cả được xếp hạng “Quan trọng”, xếp hạng độ nghiêm trọng cao nhất thứ 2. Bản tin số 3 dường như là nghiêm trọng nhất, khi nó cũng liên quan tới sự thực thi mã ở xa, mà nó chỉ ảnh hưởng tới Microsoft Word 2007 Service Pack 3 và Office Compatibility Pack Service Pack 3.

Chúng tôi sẽ không biết cho tới chiều ngày thứ Ba chính xác những gì sẽ diễn ra với lỗi này, nhưng trong quá khứ, các lỗi thực thi mã ở xa từng được cho thành “Quan trọng” thày vì “Sống còn” nếu hành động của người sử dụng là cần thiết vì một khai thác thành công.

Bản tin số 4 và 5 làm việc với các tiết lộ thông tin, hoặc khi phần mềm không bảo vệ đúng mực các dữ liệu đi qua nó, dẫn tới sự “rò rỉ” thông tin. Cái đầu liên quan tới hầu hết các bản nâng cấp gần đây các phần mềm cũ hơn - máy để bàn Windows Vista Service Pack 2 và Windows 7 Service Pack 1, và Windows Server 2003 Server Pack 2, 2008 Service Pack 2 và 2008 R2 Service Pack 1 — cũng như máy để bàn hiện hành với Windows 8 và 8.1, máy tính bảng RT và RT 8.1, và Windows Server 2012. Bản tin số 5 ảnh hưởng tới Lync Server 2010 và Lync Server 2013.

Bản tin cố 6 làm việc với một lỗi từ chối dịch vụ trên máy trạm Vista Service Pack 2, Windows 7 Service Pack 1, Windows 8 và Windows 8.1, máy tính bảng RT và RT 8.1, và Windows Server 2008 Service Pack 2, 2008 R2 Service Pack 1, 2012 và 2012 R2.

Và cuối cùng, bản tin số 7 làm việc với một lỗi làm giả mạo trong Microsoft Windows 7, Server 2008 R2, 8, 8.1, Server 2012 and 2012 R2.

Chúng tôi sẽ đưa Bản vá ngày thứ Ba lên khi tự các bản cập nhật được phát hành, cùng với nhiều giải thích chi tiết hơn về các vấn đề chúng giải quyết.

It's almost that time of the month — time for Patch Tuesday! It's that special day when Microsoft releases its latest upgrades and security fixes. This Patch Tuesday, June 10, Microsoft is expected to release a patch for an Internet Explorer 8 bug it allegedly knew about six months ago.

A total of seven security bulletins were included in Microsoft's customary pre-Patch Tuesday alert, two of which have been given a "critical" severity rating, the highest possible.

Microsoft designates as critical flaws those that allow remote code execution without the knowledge of the legitimate user. In such a scenario, an external attacker could seize control of a targeted computer and (usually) gets all the same system permissions as did the hapless user who was logged in when the attack began.

The first critical bulletin concerns the now-infamous Internet Explorer 8 bug, disclosed a few weeks ago by Hewlett-Packard's Zero Day Initiative (ZDI), a "bug bounty" program that rewards experts who discover and disclose security vulnerabilities. Allegedly, ZDI contacted Microsoft back in October about a serious flaw in IE 8 (and only IE 8; other versions of Microsoft's browser appear unaffected by this particular flaw).

ZDI says Microsoft never responded, so according to ZDI's policy of publicly disclosing bugs within 180 days of discovery, program administrators disclosed the issue in late May.

IE 8 is the last version of Internet Explorer that is compatible with Windows XP, which Microsoft stopped supporting in April. Did Microsoft retire XP knowing that a serious vulnerability remained on one of XP's main programs?

In response to ZDI's disclosure, Microsoft responded that it would patch this IE 8 flaw, but didn't specify when. Microsoft security manager Dustin Childs confirmed in a blog post that Bulletin One is about that fix; it deals with remote code execution on all supported versions of Internet Explorer (6 through 11) on all supported versions of desktop Windows (Vista, 7, 8 and 8.1, and RT and RT 8.1) and Windows Server (2003, 2008, 2008 R2, 2012, 2012 R2 and Server Core).

Bulletin Two deals with a critical flaw in Microsoft Windows, Office and Lync (an Office-bundled instant-messaging client). It affects all supported versions of Windows Server as well as Microsoft Office 2007 Service Pack 3, Office 2010 Service pack 1 and 2, Microsoft Live Meetings 2007, Microsoft Lync 2010 and Lync 2013.

The other five bulletins are all rated "Important," the second-highest severity rating. Bulletin 3 appears to be the most serious, as it also involves remote code execution, but it only affects Microsoft Word 2007 Service Pack 3 and Office Compatibility Pack Service Pack 3.

We won't know until Tuesday afternoon exactly what's going on with this flaw, but in the past, remote-code-execution flaws have been deemed "Important" rather than "Critical" if user action is necessary for a successful exploit.

Bulletins 4 and 5 deal with information disclosure, or when software doesn't adequately protect data that passes through it, leading to "leakage" of information. The first concerns the most recent updates of older software — desktop Windows Vista Service Pack 2 and Windows 7 Service Pack 1, and Windows Server 2003 Server Pack 2, 2008 Service Pack 2 and 2008 R2 Service Pack 1 — as well as the current desktop Windows 8 and 8.1, tablet RT and RT 8.1, and Windows Server 2012. Bulletin 5 affects Lync Server 2010 and Lync Server 2013.

Bulletin 6 deals with a denial-of-service flaw on desktop Vista Service Pack 2, Windows 7 Service Pack 1, Windows 8 and Windows 8.1, tablet RT and RT 8.1, and Windows Server 2008 Service Pack 2, 2008 R2 Service Pack 1, 2012 and 2012 R2.

And finally, Bulletin 7 has to do with a tampering flaw on Microsoft Windows 7, Server 2008 R2, 8, 8.1, Server 2012 and 2012 R2.

We'll post on Patch Tuesday when the updates themselves come out, along with more detailed explanations of the issues they address.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com