Patch
Tuesday January 2015 Preview
Posted
by wkandek in The Laws of Vulnerabilities on Jan 8, 2015 10:51:52 AM
Bài
được đưa lên Internet ngày: 08/01/2015
Lời
người dịch: Trích đoạn: “Các lỗi ngày số 0 tiếp
tục hiện diện thậm chí ngay từ đầu năm, dù lần này
không từ một kẻ tấn công, mà từ đội nghiên cứu an
toàn. Dự án số 0
(Project Zero)
của Google nghiên cứu các chỗ bị tổn thương trong các
phần mềm phổ biến và xuất bản các kết quả trong một
cách thức minh bạch. Các công ty có 90 ngày để giải
quyết các vấn đề trước khi thông tin về chỗ bị tổn
thương trở thành công khai. James
Forshaw từ đội Dự án Zero đã thấy một chỗ bị tổn
thương leo thang quyền ưu tiên cục bộ trong Windows
8.1 vào ngày 30/09/2014 và đã làm thành công khai vào ngày
20/12/2014, đốt nóng lại thảo luận về lợi ích của
những phát lộ này mà không có bản vá sẵn sàng
(xem các bình luận ở đây:
https://code.google.com/p/google-security-research/issues/detail?id=118).
Chỗ bị tổn thương là chỉ vì sự leo thang cục bộ,
nghĩa là một kẻ tấn công cần phải có sự truy cập
tới máy đích rồi để sử dụng được nó. Nhưng một
khi trên máy tính thì nó cho phép kẻ tấn công trở thành
người quản trị, trao toàn bộ sự kiểm soát đối với
máy tính đích. Còn nhớ Stuxnet
chứ? Ở đó kẻ tấn công được trang bị phần mềm độc
hại với 2 lỗi ngày số 0 cục bộ, cho phép chúng trở
thành người quản trị để giành lấy sự kiểm soát
hoàn toàn - chỗ bị tổn thương này là ở lớp tương
tự. Bản thân nó là không quá
lo, nhưng kết hợp với các chỗ bị tổn thương khác
hoặc sự truy cập qua các ủy quyền bị đánh cắp thì
có giá trị nhất định”. Xem
thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.
Bây
giờ là tháng 01/2015 và là một tuần trước Bản vá ngày
thứ Ba đầu tiên của năm. Microsoft đã đưa ra sơ bộ
Lưu ý Trước - ANS (Advance Notification) đầu tiên của họ
về chu kỳ vá. Như năm mới mang tới nhiều thay đổi và
ANS là một trong những điều bị ảnh hưởng. Microsoft sẽ
dừng cung cấp thông tin ANS cho công chúng nói chung và các
bên có quan tâm sẽ phải hỏi nó qua quản lý khách hàng
của họ. Ồ, cá nhân tôi luôn nghĩ rằng các khách hàng
của chúng tôi đã có quan tâm trong thông tin có trong ANS,
nhưng chúng tôi sẽ xem cách khắc phục điều đó như thế
nào.
Nhưng
hãy xem trong năm qua để thấy những gì chúng ta có thể
kỳ vọng năm nay. 2014 từng là năm khá náo động cho An
toàn Thông tin nói chung. Đã có các lỗ hổng dữ liệu ở
những cái tên nổi tiếng như JP Morgan Chase, Home Depot và
Sony, các chỗ bị tổn thương trong phần mềm nguồn mở
như Heartbleed trong OpenSL và Shellshock trong Bash, phần mềm
về hưu (Windows XP, Java 6) và một số các chỗ bị tổn
thương ngày số 0 gia tăng trong các phần mềm từ
Microsoft và Adobe, bên đã vá Flash hàng tháng trong năm
2014.
Các
lỗi ngày số 0 tiếp tục hiện diện thậm chí ngay từ
đầu năm, dù lần này không từ một kẻ tấn công, mà
từ đội nghiên cứu an toàn. Dự
án số 0
(Project Zero)
của Google nghiên cứu các chỗ bị tổn thương trong các
phần mềm phổ biến và xuất bản các kết quả trong một
cách thức minh bạch. Các công ty có 90 ngày để giải
quyết các vấn đề trước khi thông tin về chỗ bị tổn
thương trở thành công khai. James
Forshaw từ đội Dự án Zero đã thấy một chỗ bị tổn
thương leo thang quyền ưu tiên cục bộ trong Windows
8.1 vào ngày 30/09/2014 và đã làm thành công khai vào ngày
20/12/2014, đốt nóng lại thảo luận về lợi ích của
những phát lộ này mà không có bản vá sẵn sàng
(xem các bình luận ở đây:
https://code.google.com/p/google-security-research/issues/detail?id=118).
Chỗ bị tổn thương là chỉ vì sự leo thang cục bộ,
nghĩa là một kẻ tấn công cần phải có sự truy cập
tới máy đích rồi để sử dụng được nó. Nhưng một
khi trên máy tính thì nó cho phép kẻ tấn công trở thành
người quản trị, trao toàn bộ sự kiểm soát đối với
máy tính đích. Còn nhớ Stuxnet chứ? Ở đó kẻ tấn công
được trang bị phần mềm độc hại với 2 lỗi ngày số
0 cục bộ, cho phép chúng trở thành người quản trị để
giành lấy sự kiểm soát hoàn toàn - chỗ bị tổn thương
này là ở lớp tương tự. Bản thân nó là không quá lo,
nhưng kết hợp với các chỗ bị tổn thương khác hoặc
sự truy cập qua các ủy quyền bị đánh cắp thì có giá
trị nhất định.
Hãy
cho tôi biết bạn nghĩ gì về sự thay đổi này và tinh
chỉnh vào tuần sau, khi mà Bản vá ngày thứ Ba thực sự
tới.
It
is January 2015 and the week before the year’s first Patch Tuesday.
Microsoft should have posted their first Advance Notification (ANS)
kicking off the patch cycle. But a new year brings many changes and
the Advanced Notification is affected by one of them. Microsoft will
stop providing the ANS information to the general public and parties
interested will have to ask for the it through their account manager.
Hmmh, I personally have always thought that our customers were
interested in the information contained in ANS, but we will see how
that works out.
But
lets take a look in the past year to see what we can expect this
year. 2014 has been a pretty turbulent year for Information Security
in general. There were a high profile data breaches such as JP Morgan
Chase, Home Depot and Sony, critical vulnerabilities in Open Source
Software like Heartbleed in OpenSSL and Shellshock in Bash, retired
software (Windows XP, Java 6) and an elevated number of 0-day
vulnerabilities in software from Microsoft and Adobe, who patched
Flash every month in 2014.
And
0-days continue to be present even as the year starts, this time
though not from an attacker, but from the security research team.
Google’s Project Zero researches vulnerabilities in common software
and publishes the results in a transparent manner. Companies have 90
days to address issues before the vulnerability information becomes
public. James Forshaw from the Project Zero team found a local
privilege escalation vulnerability in Windows 8.1 on September 30 and
made it public on December 29th, reigniting the discussion on the
benefit of these disclosures without having a patch available (see
comments here:
https://code.google.com/p/google-security-research/issues/detail?id=118).
The vulnerability is for local escalation only, meaning an attacker
needs to have access to the target machine already to make use of it.
But once on the machine it allows the attacker to become
administrator giving total control over the target machine. Remember
Stuxnet? There the attacker equipped the malware with 2 local 0-days
allowing them to become administrator in order to gain full control -
this vulnerability is in a similar class. By itself not too much to
worry about, but in combination with other vulnerabilities or access
through stolen credentials certainly valuable.
Let
me know what you think about this change and tune in next week when
the actual Patch Tuesday comes along.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.