Internet
Explorer stars in monster October Patch Tuesday
3
bản vá thi nhau khi Oracle và Adobe chất thêm nỗi đau
Triple
patch match as Oracle and Adobe pile on the pain
By
John Leyden, 10 Oct 2014
Bài
được đưa lên Internet ngày: 10/10/2014
Lời
người dịch: Các trích đoạn về Bản vá ngày thứ Ba
tháng 10/2014 sẽ được phát hành ngày thứ ba, 14/10/2014:
“Đứng đầu danh sách sống
còn là một bản cập nhật cho Internet
Explorer mà ảnh hưởng tới tất cả các phiên bản được
hỗ trợ từ 6 tới 11, trên tất cả các hệ điều hành
bao gồm cả Windows RT. Các chỗ bị tổn thương bao trùm
một cặp các bản tin sống còn.
Qualys viện lý rằng 2 trong số 5
bản cập nhật “quan trọng” đang được ưu tiên phát
hành bao trùm các lỗi dạng Thực thi Mã Ở xa - RCE (Remote
Code Execution). Các chỗ bị tổn thương đó là một dạng
mà cho phép những kẻ tấn công chiếm kiểm soát các máy
và thực thi mã tùy ý, thường là một Trojan Truy cập Ở
xa - RAT (Remote Access Trojan) hoặc tương tự... các
hệ thống dựa vào máy chủ cũng như các máy tính để
bàn sẽ cần cập nhật. “Các
bản tin đó sẽ ảnh hưởng tới IE,
.NET Framework, Microsoft Office, Microsoft Office Web Apps,
Microsoft Office Web Services, Microsoft Development Tools và
Microsoft Windows””.
Không có bản
vá nào cho Windows
XP!. Lưu
ý: Việt
Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính,
chiếm 45.65% máy tính cả nước còn chạy Windows XP hết
hỗ trợ kỹ thuật từ 08/04/2014.
Hơn nữa, các
dịch vụ công của Việt Nam chỉ chạy được trên trình
duyệt web Microsoft Internet Explorer và Windows.
Nguy hiểm: Microsoft
làm việc với FBI để phá an ninh Internet
và Tòa
án Liên bang Mỹ ra lệnh cho Microsoft phải trao các thư
điện tử được lưu trữ trên các máy chủ ở nước
ngoài cho các nhà chức trách Mỹ.
Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
Tháng
10 lại bội thu bản cập nhật Bản vá ngày thứ Ba với
9 bản tin được xếp hàng để phát hành - 3 trong số đó
là sống còn.
Hãng
an ninh đám mây Qaulys ước tính 2 bản tin ít “quan trọng”
cũng là tồi tệ dù, khi chúng cũng có thể cho phép tiêm
mã độc vào các hệ thống bị tổn thương.
Đứng
đầu danh sách sống còn là một bản cập nhật cho
Internet Explorer mà ảnh hưởng tới tất cả các phiên bản
được hỗ trợ từ 6 tới 11, trên tất cả các hệ điều
hành bao gồm cả Windows RT. Các chỗ bị tổn thương bao
trùm một cặp các bản tin sống còn.
Qualys
viện lý rằng 2 trong số 5 bản cập nhật “quan trọng”
đang được ưu tiên phát hành bao trùm các lỗi dạng Thực
thi Mã Ở xa - RCE (Remote Code Execution). Các chỗ bị tổn
thương đó là một dạng mà cho phép những kẻ tấn công
chiếm kiểm soát các máy và thực thi mã tùy ý, thường
là một Trojan Truy cập Ở xa - RAT (Remote Access Trojan) hoặc
tương tự.
Theo
đánh giá này, một bản cập nhật cho Microsoft Office 2007
và 2010, cũng như các khiếm khuyết khác trong Windows, cần
phải ưu tiên vào tuần sau.
Karl
Sigler, quản lý tri thức các mối đe dọa ở Trustwave,
đã chỉ ra rằng cả các hệ thống dựa vào máy chủ
cũng như các máy tính để bàn sẽ cần cập nhật.
“Các
bản tin đó sẽ ảnh hưởng tới IE,
.NET Framework, Microsoft Office, Microsoft Office Web Apps,
Microsoft Office Web Services, Microsoft Development Tools và
Microsoft Windows”, Sigler nói.
“Tất
cả các hệ điềuhành dựa vào máy tính cá nhân Windows
được hỗ trợ và các hệ điều hành dựa vào máy chủ
Windows đều bị ảnh hưởng, vì nhiều bản tin Microsoft
Windows dựa vào các thành phần OS nội bộ. Chúng bao gồm
các hệ điều hành Windows cũng như Windows Server 2003, hoặc
như Windows 8.1 và Windows Server 2012 R2”, ông nói.
Các
cài đặt cập nhật IE nên là ưu tiên chính, đặc biệt
tháng này vì hơn 20 chỗ bị tổn thương sẽ được sửa
trong phần mềm trình duyệt dạng pho mát Thụy Sĩ của
Redmond.
Một
lần nữa, bản tin IE sẽ có ưu tiên cao nhất để vá,
Sigler khuyến cáo. “Điều này đánh dấu bản vá số 9
ngày thứ Ba theo hàng phải đưa vào các bản vá cho IE.
Giống như các bản tin IE trước, lần này sẽ có hơn 25
CVE và vài trong số đó được kỳ vọng sẽ bị khai thác
bùng nổ”.
Bản
vá ngày thứ Ba tháng 10 hứa hẹn đặc biệt bận rộn vì
bản vá Flash từ Adobe, cũng như bản cập nhật theo quý
của Oracle tất cả đến lúc phải phát hành vào ngày
14/10. Các bản vá theo quý của Oracle “thường lớn và
đề cập tới nhiều thành phần phần mềm của một
doanh nghiệp điển hình”, Wolfgang Kandek, CTO, Qualys, viết
trong một bài trên blog đánh giá 3 bản cập nhất khác
nhau.
Tất
cả 3 hãng phần mềm đang từ chối các chi tiết về các
lỗi sẽ được vá và còn đang treo phân phối các bản
cập nhật phần mềm - thực tiễn tiêu chuẩn để bảo
vệ chống lại việc trao cho các tin tặc manh mối về
cách để tấn công các hệ thống trong khi chờ đợi.
October
is stacking up to be a bumper Patch Tuesday update with nine
bulletins lined up for delivery — three rated critical.
Cloud
security firm Qualys estimates two of the lesser "important"
bulletins are just as bad however, as they would also allow malicious
code injection onto vulnerable systems.
Top
of the critical list is an update for Internet Explorer that affects
all currently supported versions 6 to 11, on all operating system
including Windows RT. Vulnerabilities discovered in most versions of
Windows Server, Windows 7 and 8, and the .NET framework are covered
in the other pair of critical bulletins.
Qualys
argues that two of the five "important" updates being
primed for release cover Remote Code Execution (RCE)-type bugs. The
vulnerabilities are of a type that allow hackers to take control of
machines and execute arbitrary code, usually a Remote Access Trojan
(RAT) or similar.
According
to this assessment, an update for Microsoft Office 2007 and 2010, as
well as another flaw in Windows, need to be prioritised next week.
Karl
Sigler, threat intelligence manager at Trustwave, pointed out that
both server-based systems as well as desktops will need updating.
"These
bulletins will affect IE, .NET Framework, Microsoft Office, Microsoft
Office Web Apps, Microsoft Office Web Services, Microsoft Development
Tools and Microsoft Windows," Sigler said.
"All
supported Windows PC-based operating systems and Windows server-based
operating systems are affected, due to many of the Microsoft Windows
bulletins being based upon internal OS components. These include
Windows operating systems as old as Windows Server 2003, or as new as
Windows 8.1 and Windows Server 2012 R2," he added.
Updating
IE installs ought to be the main priority, especially this month
because more than 20 vulnerability are due to be fixed in Redmond's
Swiss cheese browser software.
Yet
again, the IE bulletin will be the highest priority to patch,"
Sigler advises. "This marks the ninth patch Tuesday in a row to
include patches for IE. Like the previous IE bulletins, this will
have more than 25 CVEs and some of these are expected to be exploited
in the wild."
October's
Patch Tuesday promises to be especially busy because a Flash patch
from Adobe, as well as Oracle's quarterly update are all due to land
on 14 October. Oracle quarterly updates are "usually massive and
address many software components of a typical enterprise",
Wolfgang Kandek, CTO, Qualys, writes in a blog post assessing these
various updates.
All
three software firms are withholding details of the flaws to be
patched pending delivery of the software updates — standard
practice to safeguard against giving hackers clues about how to
attack systems in the meantime. ®
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.