Making
December's Patch Tuesday Releases Meaningful
Dec
9, 2014, By Rod Trent
Bài
được đưa lên Internet ngày: 09/12/2014
Lời
người dịch: Bản vá ngày thứ Ba tháng 12/2014 của
Microsoft có 7 bản tin, trong đó có 3 bản tin sống còn, đó
là: MS14-080,
MS14-081
và MS14-084,
tương ứng cho các sản phẩm là Internet Explorer, Microsoft
Office và VBScript. Không có bản
vá nào dành cho Windows XP!.
Lưu ý: Việt
Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính,
chiếm 45.65% máy tính cả nước còn chạy Windows XP hết
hỗ trợ kỹ thuật từ 08/04/2014.
Hơn nữa, các
dịch vụ công của Việt Nam chỉ chạy được trên trình
duyệt web Microsoft Internet Explorer và Windows.
Nguy hiểm: Microsoft
làm việc với FBI để phá an ninh Internet
và Tòa
án Liên bang Mỹ ra lệnh cho Microsoft phải trao các thư
điện tử được lưu trữ trên các máy chủ ở nước
ngoài cho các nhà chức trách Mỹ.
Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
Hình
ảnh tổng hợp chỉ các lỗi sống còn (Critical) trong các
Bản vá ngày thứ Ba của Microsoft từ khi hết hỗ trợ kỹ
thuật trên toàn cầu cho Windows XP
vào ngày 08/04/2014:
Đây
là Bản vá ngày thứ Ba cuối cùng của năm 2014 và một
năm thế nào đã qua. Microsoft đã có 11 cuộc thử và phải
có một tháng hoàn toàn không có bản vá. Liệu đây có
là tháng Microsoft cuối cùng đúng thế hay không? Liệu Bản
vá ngày thứ Ba tháng 12 có thể đưa ra một phép màu
Giáng sinh, hay chỉ là những ngày hội cho phần còn lại
của chúng ta khi chúng ta có thể phát sóng các bất bình
về việc vá của chúng ta? Thời gian sẽ trả lời, và
tôi sẽ giữ cho tai của mình ở mặt đất để cho bạn
biết về bất kỳ vấn đề gì được nêu, nhưng ít nhất
bạn cần biết những gì được đưa vào trong kho các bản
cập nhật ngày hôm nay.
Đây
là những gì bạn có thể kỳ vọng.
Exchange
Server
MS14-075
– Đây là bản tin được thiết lập để phát hành vào
tháng trước, nhưng bị hoãn lại vì một vấn đề về
cài đặt. Đây là một sửa lỗi cho máy chủ Microsoft
Exchange mà có thể cho phép những kẻ tấn công gửi thư
điện tử mà xuất hiện từ những người sử dụng
khác.
Xếp
hạng: Quan trọng.
Internet
Explorer
MS14-080
– Internet Explorer không là kẻ lạ lẫm đối với Bản
vá ngày thứ Ba. Phát hành tháng này giải quyết hơn 14
chỗ bị tổn thương được nêu riêng tư bao gồm cả
Thực thi Mã Ở xa và một sự vượt qua ASLR.
Xếp
hạng: Sống còn.
Microsoft
Office
MS14-081
– Microsoft Word và Office Web Apps bị tổn thương dạng
Thực thi Mã Ở xa theo ngữ cảnh của người sử dụng đã
đăng nhập vào. Tất nhiên việc loại bỏ các quyền của
người quản trị (Administrator) khỏi những người sử
dụng thông thường sẽ sửa được điều này, nhưng
Microsoft vẫn đưa ra một bản vá.
Xếp
hạng: Sống còn
MS14-082
– This is another update for Microsoft Word and also covers remote
code execution. Rating: Important
MS14-083
– Excel gets a highlight this time, and it too is vulnerable to
remote code execution if run by a normal user that has been given
administrative credentials. Rating: Important
MS14-082
– Đây là bản cập nhật khác cho Microsoft Word và cũng
bao trùm sự thực thi mã ở xa.
Xếp
hạng: Quan trọng
MS14-083
– Excel có một dấu nhấn lần này, và nó cũng bị tổn
thương về thực thi mã ở xa nếu được một người sử
dụng thông thường chạy mà có các ủy quyền quản trị.
Xếp
hạng: Quan trọng.
VBScript
MS14-084
– Ở đây, Microsoft đang tìm cách để sửa một lỗi
thực thi mã ở xa trong VBScript Engine. Hầu hết những
người chuyên CNTT đang sử dụng PowerShell những ngày này
cho các dự án scripting mới, nhưng có khá nhiều mã
VBScript vẫn còn ngoài đó. Đây là một chỗ bị tổn
thương ứng dụng máy trạm, nên, một lần nữa, việc
rút bỏ các quyền quản trị có thể giải quyết được
vấn đề.
Xếp
hạng: Sống còn
Windows
JPEG Images
MS14-085
– Các ảnh JPEG như các vật trung gian của cuộc tấn
công? Hình như thế. Chỗ bị tổn thương này tấn công
qua việc xử lý Windows JPEG và có thể ăn cắp dữ liệu.
Xếp
hạng: Quan trọng
Phát
hành lại
Rà
soát lại
Hỗn
tạp
Khám
phá các vấn đề với bất kỳ bản cập nhật an toàn
nào của tháng này? Hãy cho tôi biết và tôi sẽ đưa ra
lời nói.
It
is the very last Patch Tuesday of 2014 and what a year it has been.
Microsoft has had 11 tries and has yet to have a completely flawless
patching month. Could this be the month Microsoft finally gets it
right? Could December's Patch Tuesday produce a Christmas miracle, or
just a Festivus for the rest of us when we can air our patching
grievances? Time will tell, and I'll be keeping my ear to the ground
to let you know of any reported problems, but at least you need to
know what's included in today's stack of updates.
Here's
what you can expect.
Exchange
Server
MS14-075
– This is the bulletin set to release last month, but shelved due
to an installation problem. It is a fix for Microsoft Exchange server
that can allow attackers to send email that appears from other users.
Rating: Important
Internet
Explorer
MS14-080
– Internet Explorer is no stranger to Patch Tuesday. This month's
edition resolves over 14 privately reported vulnerabilities including
Remote Code Execution and an ASLR bypass. Rating: Critical
Microsoft
Office
MS14-081
– Microsoft Word and Office Web Apps are vulnerable to Remote Code
Execution in the context of the currently logged on user. Of course
removing Administrator rights from normal users will fix it, but
Microsoft is providing a patch anyway. Rating: Critical
VBScript
MS14-084
– Here, Microsoft is seeking to fix a remote code execution flaw in
the VBScript Engine. Most IT folks are using PowerShell these days
for new scripting projects, but there's a fair amount of VBScript
code still out there. This is a client-application vulnerability, so
once again, taking away administrative rights would solve the
problem. Rating: Critical
Windows
JPEG Images
MS14-085
– JPEG images as attack vectors? Apparently so. This vulnerability
attacks through Windows JPEG processing and can steal data. Raiting:
Important
Re-releases
Revisions
Miscellaneous
Discover
problems with any of this month's security updates? Let me know and
I'll spread the word.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.