Bản vá ngày thứ Ba tháng 12/2014 sẽ sửa các lỗi trong Internet Explorer, Office và Windows

Microsoft's December Patch Tuesday will fix bugs in Internet Explorer, Office and Windows

Không ở đâu tháng cuối cùng là lớn đến thế

Nowhere near as big as last month's

By Lee Bell, Fri Dec 05 2014, 14:55

Theo: http://www.theinquirer.net/inquirer/news/2385278/microsofts-december-patch-tuesday-will-fix-bugs-in-internet-explorer-office-and-windows

Bài được đưa lên Internet ngày: 05/12/2014

Lời người dịch: Dự kiến Bản vá ngày thứ Ba tháng 12/2014 sẽ có 7 bản tin, trong số đó có 3 được xếp hạng 'sống còn' và 4 được xếp hạng 'quan trọng' - bao trùm Internet Explorer (IE), Office, Exchange và Windows. Nếu tất cả 7 bản vá sẽ được đưa ra đúng theo kế hoạch, thì tổng số các bản vá trong năm 2014 sẽ là 84. Không có bản vá nào dành cho Windows XP!. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer và Windows. Nguy hiểm: Microsoft làm việc với FBI để phá an ninh Internet và Tòa án Liên bang Mỹ ra lệnh cho Microsoft phải trao các thư điện tử được lưu trữ trên các máy chủ ở nước ngoài cho các nhà chức trách Mỹ. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.

MICROSOFT SẼ ĐƯA RA Bản vá ngày thứ Ba cuối cùng của năm 2014 vào tuần sau, một bản tin an toàn Thông báo Trước cho Tháng 12 (Advance Notification for the December) đã khẳng định.

Bản vá này sẽ được đưa ra vào 1 giờ chiều ngày 09/12, sẽ gồm 7 bản tin - 3 'sống còn' và 4 'quan trọng' - bao trùm Internet Explorer (IE), Office, Exchange và Windows. Nếu tất cả 7 bản vá sẽ được đưa ra đúng theo kế hoạch, thì tổng số các bản vá trong năm 2014 sẽ là 84.

Bản cập nhật cũng sẽ có nghĩa là đây là lần thứ 11 trong năm nay IE sẽ được vá vì các chỗ bị tổn thương về an toàn.

“Dường như là nhiều chỗ yếu đó đang bị phát hiện qua các kỹ thuật 'mờ' tự động, chúng có thể thường gây ra nhiều sự phát hiện chỗ bị tổn thương”, lãnh đạo tri thức về các mối đe dọa của hãng an toàn Trustwave, Karl Sigler, nói.

“Vài trong số các CVE được đưa vào trong bản tin này là 'Sống còn' và nghiêm trọng nhất có khả năng sẽ là các chỗ bị tổn thương làm hỏng bộ nhớ”.

Sigler nói những người sử dụng IE sẽ “tuyệt đối muốn vá các chỗ bị tổn thương đó” càng sớm càng tốt, dù không trong số các CVE nào được đưa vào trong phát hành đó hiện đang bị khai thác nhiều.

Trong khi sự phát hành không động chạm tới bất kỳ điều gì tệ hại như chỗ bị tổn thương Thực thi Mã Ở xa của Schannel (MS14-066) từ tháng trước, thì điều này không có nghĩa là bản cập nhật sẽ bị bỏ qua hoặc chậm trễ.

Người phát ngôn của Malwarebytes đã khuyến cáo: “Thực tế là 3 bản tin 'sống còn' ảnh hưởng tới IE, Office và Windows nhấn mạnh thực tế này, khi mà chúng có khả năng nhất cho phép thực thi mã ở xa”.

“Mọi người nên tuân theo khuyến cáo của Microsoft và áp dụng các bản cập nhật đó ngay lập tức”.

Bản vá ngày thứ Ba tháng 11 của Microsoft từng lớn hơn nhiều và đã sửa tổng số 33 lỗi khắp tất cả các phiên bản của Windows. Bản vá đó bao gồm 4 bản tin được xếp hạng 'sống còn', 8 được xếp hạng 'quan trọng' và 2 được xếp hạng 'vừa phải'.

Trong số các bản tin sống còn từng có MS14-065, nó đã vá 17 chỗ bị tổn thương trong tất cả các phiên bản IE. Nghiêm trọng nhất trong số chúng có thể cho phép thực thi mã ở xa nếu một người sử dụng xem một trang web bị vọc đặc biệt bằng việc sử dụng IE.

MICROSOFT WILL RELEASE its last Patch Tuesday of 2014 next week, an Advance Notification for the December security bulletin has confirmed.

The patch, which will go live at 1pm on 9 December, will consist of seven bulletins – three 'critical' and four 'important' – covering Internet Explorer (IE), Office, Exchange and Windows. If all seven are released as planned, the total number of patches in 2014 will be 84.

The update will also mean it is the eleventh time this year that IE will be patched for security vulnerabilities.

"It appears that many of these weaknesses are being discovered through automatic 'fuzzing' techniques, which can often result in multiple vulnerability discoveries," said security firm Trustwave's threat intelligence manager, Karl Sigler.

"Several of the CVEs included in this bulletin are 'Critical' and the most severe are likely to be memory corruption vulnerabilities."

Sigler said IE users will "absolutely want to patch these vulnerabilities" as soon as possible, although none of the CVEs included in the release is currently being exploited in the wild.

While the release doesn't tackle anything as nasty as the Schannel Remote Code Execution vulnerability (MS14-066) from last month, this doesn't mean the update should be skipped or delayed, though.

A Malwarebytes spokesperson advised: "The fact that the three 'critical' bulletins affect IE, Office and Windows underlines this fact, as these are most likely to allow for remote code execution.

"People should follow Microsoft's advice and apply these updates immediately."

Microsoft's November Patch Tuesday was much bigger and fixed a total 33 bugs across all versions of Windows. The patch included four bulletins rated 'critical', eight rated 'important' and two rated 'moderate'.

Among the critical bulletins was MS14-065, which patched 17 vulnerabilities in all supported versions of Internet Explorer (IE). The most severe of these could allow remote code execution if a user views a specially crafted webpage using IE.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com