Microsoft
patches 2 critical, 7 important flaws on August 2014 'Update Tuesday'
Microsoft
đã phát hành 9 bản cập nhật an ninh để giải quyết 37
Chỗ bị tổn thương & Phơi lộ Phổ biến trong SQL
Server, OneNote, SharePoint, .NET, Windows và Internet Explorer.
Microsoft
released nine security updates to resolve 37 Common Vulnerabilities &
Exposures in SQL Server, OneNote, SharePoint, .NET, Windows and
Internet Explorer.
NetworkWorld
|Aug 12, 2014 11:28 AM
Bài
được đưa lên Internet ngày: 12/08/2014
Lời
người dịch: Bản vá ngày thứ Ba, ra ngày thứ Ba,
12/08/2014, gồm 9 bản cập nhật
an ninh để giải quyết 37 Chỗ bị tổn thương
& Phơi lộ Phổ biến trong SQL Server, OneNote, SharePoint,
.NET, Windows và Internet Explorer. Trong đó, 2
bản vá sống còn là
MS14-051
cho trình duyệt Internet Explorer
(IE) và MS14-043
cho Windows Media Center. Còn lại là
7 bản vá Quan trọng,
gồm: MS14-048,
MS14-045,
MS14-046,
MS14-047,
MS14-044,
MS14-049
và
MS14-050.
Không có bản
vá nào cho Windows
XP!. Lưu
ý: Việt
Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính,
chiếm 45.65% máy tính cả nước còn chạy Windows XP hết
hỗ trợ kỹ thuật từ 08/04/2014.
Hơn nữa, các
dịch vụ công của Việt Nam chỉ chạy được trên trình
duyệt web Microsoft Internet Explorer và Windows.
Nguy hiểm: Microsoft
làm việc với FBI để phá an ninh Internet.
Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
Microsoft
đã phát hành 9 bản vá an ninh hôm nay, nhưng “Bản vá
ngày thứ Ba” hình như quá kỳ quặc đối với một cụm
từ và sẽ không nhiều hơn, theo
Brandon LeBlanc của Microsoft. Vẫn là ngày thứ Ba tuần
thứ 2 của mỗi tháng, nhưng nó được đổi tên thành
“Bản cập nhật ngày thứ Ba” nên Microsoft có thể phân
phối các bản vá an ninh cùng với các tính năng mới của
hệ điều hành.
“Thay
vì chờ nhiều tháng và đánh đống cùng một đống các
cải tiến thành một bản cập nhật lớn hơn như chúng
tôi từng làm cho Bản cập nhật của Windows 8.1, các khách
hàng có thể kỳ vọng chúng tôi sẽ sử dụng qui trình
cập nhật hàng tháng đang tồn tại rồi của chúng tôi
để phân phối thường xuyên hơn các cải tiến cùng với
các bản cập nhật an ninh thường được cung cấp như
một phần của 'Bản vá ngày thứ Ba'”. Ô, và bạn cũng
có thể quên về Bản cập nhật 2 (Update 2) cho Windows 8.1
như LeBlanc đã
nói nó sẽ không được phát hành.
Các
bản vá sống còn
MS14-051
sẽ đứng đầu danh sách của bạn về triển khai, vì nó
được xếp hạng sống còn cho tất cả các phiên bản
Internet Explorer (IE) được hỗ trợ hiện hành. Bản vá
này giải quyết một chỗ bị tổn thương được tiết
lộ công khai và 25 chỗ bị tổn thương được báo cáo
riêng trong IE. Chỗ bị tổn thương nghiêm trọng nhất có
thể cho phép thực thi mã ở xa (RCE) nếu một kẻ tấn
công làm cho người sử dụng viếng thăm một site độc
hại được làm giả.
MS14-043
là một sửa lỗi chỗ bị tổn thương RCE khác, nhưng cho
Windows Media Center lần này. “Chỗ bị tổn thương này có
thể cho phép thực thi mã ở xa nếu một người sử dụng
mở một tệp Microsoft Office bị làm giả đặc biệt mà
gọi tới các tài nguyên của Windows Media Center”.
Các
bản vá quan trọng
Dù
được xếp hạng là “quan trọng”, Microsoft đã khuyến
cáo sửa lỗi RCE này cũng nằm ở ưu tiên hàng đầu để
triển khai. MS14-048
sửa một lỗi báo cáo riêng trong Microsoft OneNote.
2 ưu
tiên triển khai bắt đầu bằng MS14-045,
nó vá 3 lỗi báo cáo riêng, bao gồm một chỗ bị tổn
thương leo thang quyền ưu tiên (EoP), trong các trình điều
khiển chế độ của nhân Microsoft Windows.
MS14-046
vá một chỗ bị tổn thương được báo cáo riêng trong
Microsoft .NET Framework. “Chỗ bị tổn thương này có thể
cho phép tính năng an ninh vượt qua nếu một người sử
dụng viếng thăm một website bị làm giả đặc biệt.
Trong một kịch bản tấn công duyệt web, một kẻ tấn
công đã khai thác thành công chỗ bị tổn thương này có
thể vượt qua được tính năng an ninh Ngẫu nhiên Hình
thức Không gian Địa chỉ - ASLR (Address Space Layout
Randomization), nó giúp bảo vệ người sử dụng khỏi một
lớp rộng các chỗ bị tổn thương”.
MS14-047
là sửa khác cho lỗi vượt qua tính năng an ninh trong
Windows. “Chỗ bị tổn thương có thể cho phép tính năng
an ninh vượt qua nếu một kẻ tấn công sử dụng chỗ bị
tổn thương đó có kết hợp với chỗ bị tổn thương
khác, như chỗ bị tổn thương thực thi mã ở xa, nó tận
dụng ưu thế vượt qua ASLR để chạy mã bất kỳ theo ý
muốn”.
Microsoft
gọi ý triển khai 3 bản vá sau sau cùng.
MS14-044
đóng lại 2 lỗ hông trong Microsoft SQL Server. Chỗ bị tổn
thương nghiêm trọng hơn trong SQL Server Master Data Services
có thể cho phép một kẻ tấn công leo thang các quyền ưu
tiên “nếu một người sử dụng viếng thăm một website
được làm giả một cách đặc biệt mà tiêm một script
ở phía máy trạm vào một cài đặt của người sử dụng
IE”.
MS14-049
vá chỗ bị tổn thương EoP khác, nhưng trong Windows
Installer Service lần này. “Chỗ bị tổn thương này có
thể cho phép leo thang quyền ưu tiên nếu một kẻ tấn
công chạy một ứng dụng bị làm giả đặc biệt mà cố
sửa một ứng dụng được cài đặt trước đó. Một kẻ
tấn công phải có thông tin đăng nhập hợp lệ và có
khả năng đăng nhập cục bộ để khai thác chỗ bị tổn
thương này”.
MS14-050
sửa một lỗi trong Microsoft SharePoint Server. “Một kẻ
tấn công có xác thực đã khai thác thành công chỗ bị
tổn thương này có thể sử dụng một ứng dụng được
làm giả đặc biệt để chạy JavaScript tùy ý theo ngữ
cảnh của người sử dụng ở site SharePoint hiện hành”.
Nếu
bạn vẫn sử dụng Internet Explorer 8, thì điều đó sẽ
thay đổi sau ngày 12/01/2016, như Microsoft đã
nói, “Chỉ phiên bản gần đây nhất của IE sẵn
sàng cho một hệ điều hành được hỗ trợ sẽ nhận
được hỗ trợ kỹ thuật và các bản cập nhật an
ninh”. Bắt đầu từ 12/01/2016, đây là những gì
Microsoft sẽ hỗ trợ: Windows Vista SP2 và IE 9; Windows Server
2008 SP2 và IE 9; Windows 7 SP1 và IE 11; Windows Server 2008 R2
SP1 và IE 11; Windows 8.1 và IE 11; Windows Server 2012 và IE 10;
và Windows Server 2012 R2 và IE 11.
Cuối
cùng, để phân phối một trình duyệt an ninh hơn, IE Blog
đã
nói, “Bắt đầu từ ngày 09/09,
Internet Explorer sẽ khóa các kiểm soát ActiveX lỗi thời”.
Đó
là tất cả cho tới nay. Chúc vá hạnh phúc!
Microsoft
released nine security patches today, but “Patch Tuesday” is
apparently too quaint of a phrase and will be no more, according
to Microsoft’s Brandon LeBlanc. It’s still on the second
Tuesday of each month, but it’s been renamed “Update Tuesday”
so Microsoft can deliver security patches along with new OS features.
"Rather
than waiting for months and bundling together a bunch of improvements
into a larger update as we did for the Windows 8.1 Update, customers
can expect that we'll use our already existing monthly update process
to deliver more frequent improvements along with the security updates
normally provided as part of 'Update Tuesday’.” Oh, and you can
also forget about Windows 8.1 Update 2 as LeBlanc said
it’s not being released.
Patches
rated Critical
MS14-051
should be top on your list for deployment, as it is rated critical
for all currently supported versions of Internet Explorer. The patch
resolves one publicly disclosed and 25 privately reported
vulnerabilities in IE. The most severe vulnerability could allow
remote code execution (RCE) if an attacker were to get a user to
visit a maliciously crafted site.
MS14-043
is another RCE vulnerability fix, but for Windows Media Center this
time. “The vulnerability could allow remote code execution if a
user opens a specially crafted Microsoft Office file that invokes
Windows Media Center resources.”
Patches
rated Important
Although
rated as “important,” Microsoft advised this RCE bug fix to also
be a top priority for deployment. MS14-048
fixes a privately report flaw in Microsoft OneNote.
Deployment
priority two starts with MS14-045,
which patches three privately report bugs, including an elevation of
privilege (EoP) vulnerability, in Microsoft Windows kernel-mode
drivers.
MS14-046
patches one privately reported vulnerability in Microsoft .NET
Framework. “The vulnerability could allow security feature bypass
if a user visits a specially crafted website. In a web-browsing
attack scenario, an attacker who successfully exploited this
vulnerability could bypass the Address Space Layout Randomization
(ASLR) security feature, which helps protect users from a broad class
of vulnerabilities.”
MS14-047
is another fix for a security feature bypass flaw in Windows. “The
vulnerability could allow security feature bypass if an attacker uses
the vulnerability in conjunction with another vulnerability, such as
a remote code execution vulnerability, that takes advantage of the
ASLR bypass to run arbitrary code.”
Microsoft
suggested deploying the next three patches last.
MS14-044
close two holes in Microsoft SQL Server. The more severe
vulnerability in SQL Server Master Data Services could allow an
attacker to elevate privileges “if a user visits a specially
crafter website that injects a client-side script into the user’s
instance of IE."
MS14-049
patches another EoP vulnerability, but in Windows Installer Service
this time. “The vulnerability could allow elevation of privilege if
an attacker runs a specially crafted application that attempts to
repair a previously-installed application. An attacker must have
valid logon credentials and be able to log on locally to exploit this
vulnerability.”
MS14-050
fixes a flaw in Microsoft SharePoint Server. “An authenticated
attacker who successfully exploited this vulnerability could use a
specially crafted app to run arbitrary JavaScript in the context of
the user on the current SharePoint site.”
If
you still use Internet Explorer 8, that should change after January
12, 2016, as Microsoft said,
“Only the most recent version of Internet Explorer available for a
supported operating system will receive technical support and
security updates.” Beginning January 12, 2016, here's what
Microsoft will support: Windows Vista SP2 and IE 9; Windows Server
2008 SP2 and IE 9; Windows 7 SP1 and IE 11; Windows Server 2008 R2
SP1 and IE 11; Windows 8.1 and IE 11; Windows Server 2012 and IE 10;
and Windows Server 2012 R2 and IE 11.
Lastly,
in order to deliver a more secure browser, the IE Blog said,
“Starting September 9th, Internet Explorer will block out-of-date
ActiveX controls.”
That's
it for now. Happy patching!
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.