Microsoft's
December Patch Tuesday will fix bugs in Internet Explorer, Office and
Windows
Không
ở đâu tháng cuối cùng là lớn đến thế
Nowhere
near as big as last month's
By
Lee Bell, Fri Dec 05 2014, 14:55
Bài
được đưa lên Internet ngày: 05/12/2014
Lời
người dịch: Dự kiến Bản vá ngày thứ Ba tháng 12/2014
sẽ có 7 bản tin, trong số đó
có 3 được xếp hạng 'sống còn' và 4 được xếp hạng
'quan trọng' - bao trùm
Internet Explorer (IE), Office, Exchange và Windows.
Nếu tất cả 7 bản vá sẽ được đưa ra đúng theo kế
hoạch, thì tổng số các bản vá trong năm 2014 sẽ là 84.
Không có bản vá nào dành cho
Windows XP!.
Lưu ý: Việt
Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính,
chiếm 45.65% máy tính cả nước còn chạy Windows XP hết
hỗ trợ kỹ thuật từ 08/04/2014.
Hơn nữa, các
dịch vụ công của Việt Nam chỉ chạy được trên trình
duyệt web Microsoft Internet Explorer và Windows.
Nguy hiểm: Microsoft
làm việc với FBI để phá an ninh Internet
và Tòa
án Liên bang Mỹ ra lệnh cho Microsoft phải trao các thư
điện tử được lưu trữ trên các máy chủ ở nước
ngoài cho các nhà chức trách Mỹ.
Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
MICROSOFT
SẼ ĐƯA RA Bản vá ngày thứ Ba cuối cùng của năm 2014
vào tuần sau, một bản tin an toàn Thông báo Trước cho
Tháng 12 (Advance
Notification for the December) đã khẳng định.
Bản
vá này sẽ được đưa ra vào 1 giờ chiều ngày 09/12, sẽ
gồm 7 bản tin - 3 'sống còn' và 4 'quan trọng' - bao trùm
Internet Explorer (IE), Office, Exchange và Windows. Nếu tất cả
7 bản vá sẽ được đưa ra đúng theo kế hoạch, thì
tổng số các bản vá trong năm 2014 sẽ là 84.
Bản
cập nhật cũng sẽ có nghĩa là đây là lần thứ 11 trong
năm nay IE sẽ được vá vì các chỗ bị tổn thương về
an toàn.
“Dường
như là nhiều chỗ yếu đó đang bị phát hiện qua các kỹ
thuật 'mờ' tự động, chúng có thể thường gây ra nhiều
sự phát hiện chỗ bị tổn thương”, lãnh đạo tri thức
về các mối đe dọa của hãng an toàn Trustwave, Karl
Sigler, nói.
“Vài
trong số các CVE được đưa vào trong bản tin này là
'Sống còn' và nghiêm trọng nhất có khả năng sẽ là các
chỗ bị tổn thương làm hỏng bộ nhớ”.
Sigler
nói những người sử dụng IE sẽ “tuyệt đối muốn vá
các chỗ bị tổn thương đó” càng sớm càng tốt, dù
không trong số các CVE nào được đưa vào trong phát hành
đó hiện đang bị khai thác nhiều.
Trong
khi sự phát hành không động chạm tới bất kỳ điều
gì tệ hại như chỗ bị tổn thương Thực thi Mã Ở xa
của Schannel (MS14-066) từ tháng trước, thì điều này
không có nghĩa là bản cập nhật sẽ bị bỏ qua hoặc
chậm trễ.
Người
phát ngôn của Malwarebytes đã khuyến cáo: “Thực tế là
3 bản tin 'sống còn' ảnh hưởng tới IE, Office và Windows
nhấn mạnh thực tế này, khi mà chúng có khả năng nhất
cho phép thực thi mã ở xa”.
“Mọi
người nên tuân theo khuyến cáo của Microsoft và áp dụng
các bản cập nhật đó ngay lập tức”.
Bản
vá ngày thứ Ba tháng 11 của Microsoft từng lớn hơn nhiều
và đã sửa tổng số 33 lỗi khắp tất cả các phiên bản
của Windows. Bản vá đó bao gồm 4 bản tin được xếp
hạng 'sống còn', 8 được xếp hạng 'quan trọng' và 2
được xếp hạng 'vừa phải'.
Trong
số các bản tin sống còn từng có MS14-065, nó đã vá 17
chỗ bị tổn thương trong tất cả các phiên bản IE.
Nghiêm trọng nhất trong số chúng có thể cho phép thực
thi mã ở xa nếu một người sử dụng xem một trang web
bị vọc đặc biệt bằng việc sử dụng IE.
MICROSOFT
WILL RELEASE its last Patch Tuesday of 2014 next week, an Advance
Notification for the December security bulletin has confirmed.
The
patch, which will go live at 1pm on 9 December, will consist of seven
bulletins – three 'critical' and four 'important' – covering
Internet Explorer (IE), Office, Exchange and Windows. If all seven
are released as planned, the total number of patches in 2014 will be
84.
The
update will also mean it is the eleventh time this year that IE will
be patched for security vulnerabilities.
"It
appears that many of these weaknesses are being discovered through
automatic 'fuzzing' techniques, which can often result in multiple
vulnerability discoveries," said security firm Trustwave's
threat intelligence manager, Karl Sigler.
"Several
of the CVEs included in this bulletin are 'Critical' and the most
severe are likely to be memory corruption vulnerabilities."
Sigler
said IE users will "absolutely want to patch these
vulnerabilities" as soon as possible, although none of the CVEs
included in the release is currently being exploited in the wild.
While
the release doesn't tackle anything as nasty as the Schannel Remote
Code Execution vulnerability (MS14-066) from last month, this doesn't
mean the update should be skipped or delayed, though.
A
Malwarebytes spokesperson advised: "The fact that the three
'critical' bulletins affect IE, Office and Windows underlines this
fact, as these are most likely to allow for remote code execution.
"People
should follow Microsoft's advice and apply these updates
immediately."
Microsoft's
November Patch Tuesday was much bigger and fixed a total 33 bugs
across all versions of Windows. The patch included four bulletins
rated 'critical', eight rated 'important' and two rated 'moderate'.
Among
the critical bulletins was MS14-065, which patched 17 vulnerabilities
in all supported versions of Internet Explorer (IE). The most severe
of these could allow remote code execution if a user views a
specially crafted webpage using IE.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.