Patch
Tuesday February 2015
Posted
by wkandek in The Laws of Vulnerabilities on Feb 10, 2015 11:19:00 AM
Theo:
https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/02/10/patch-tuesday-february-2015
Bài
được đưa lên Internet ngày: 10/02/2015
Lời
người dịch: Trích đoạn về Bản vá ngày thứ Ba tháng
02/2015 của Microsoft: “Bản
tin quan trọng nhất của Microsoft, sau khi cài đặt
APSB14-04 của Adobe là MS15-009,
là sửa cho Internet Explorer (IE).
Tất cả các phiên bản IE đều bị ảnh hưởng và bản
vá chứa các miếng vá cho 41 chỗ bị tổn thương, một
con số rất cao, nhưng đừng
quên rằng tháng trước đã không có phát hành nào cho IE,
điều giải thích con số tăng cao này”.
Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.
Bản
vá ngày thứ Ba tháng 02/2015 tới sau một tháng hoàn toàn
náo loạn đối với các chuyên gia an toàn thông tin. Không
thật nhiều đối với Microsoft, nhưng Adobe đã và đang
giữ chúng ta bận rộn với nhiều chỗ bị tổn thương
ngày số 0 (0-day)
được mở ra đối với phần mềm Flash của họ. Tất cả
các vấn đề được biết đã rất nhanh chóng được
Adobe giải quyết (APSB15-02,
03
và 04),
điển hình xoay quanh một sửa lỗi ít hơn một tuần. Hơn
nữa, điều đáng lo để thấy số lượng vấn đề mà
các tội phạm không gian mạng có khả năng tìm thấy
trong phần mềm mà chúng ta tất cả đều đã cài đặt
và sử dụng cho cuộc sống hàng ngày của chúng ta.
Bản
thân Microsoft đã
đưa lên 9 bản tin tháng này, 4 bản
tin sửa các chỗ bị tổn thương dạng thực thi mã ở xa
(RCE), và 5 bản tin được xếp hạng quan trọng giải
quyết một số chỗ bị tổn thương cục bộ như leo
thang quyền ưu tiên và để lộ thông tin.
Bản
tin quan trọng nhất của Microsoft, sau khi cài đặt
APSB14-04 của Adobe là MS15-009,
là sửa cho Internet Explorer (IE). Tất cả các phiên bản IE
đều bị ảnh hưởng và bản vá chứa các miếng vá cho
41 chỗ bị tổn thương, một con số rất cao, nhưng đừng
quên rằng tháng trước đã không có phát hành nào cho IE,
điều giải thích con số tăng cao này. Trong khi một
trong những chỗ bị tổn thương đang được sử dụng
trong hoang dại, thì nó không phải dạng RCE, mà “chỉ ”
là một sự Mở ra Thông tin mà những kẻ tấn công đang
sử dụng trong sự kết hợp với các chỗ bị tổn thương
khác để giành được sự kiểm soát đối với các máy
bị ngắm đích.
Tiếp
tục với danh sách của chúng ta là MS15-012,
nó giải quyết 3 chỗ bị tổn thương, bao gồm cả một
tổn thương dạng RCE mà có thể bị sử dụng để giành
lấy sự kiểm soát đối với máy tính của người sử
dụng. Một kẻ tấn công có thể lừa người sử dụng
mở một tài liệu được định dạng đặc biệt, thường
được trợ giúp qua sử dụng kỹ thuật xã hội, nghĩa
là gửi một thư điện tử với một gắn kèm gây chú ý.
Vì dạng tấn công này là rất thường xuyên nên chúng ta
tin tưởng bảng tin này sẽ là cao trong danh sách của bạn.
MS15-010
là một bản tin sống còn cho hệ điều hành Windows giải
quyết 6 chỗ bị tổn thương mà hiện diện trong tất cả
các phiên bản của hệ điều hành này bắt đầu từ
Server 2003 qua Windows 8.1 và Server 2008 R2. Một trong các chỗ
bị tổn thương, CVE-2015-0010 đã từng được mở ra công
khai qua Dự án Zero từ Google vì giai đoạn cấm vận 90
ngày đã hết, nhưng Microsoft chỉ ra rằng họ không nhận
thức được về bất kỳ cố gắng khai thác nào.
MS15-011
là một chỗ bị tổn thương thú vị trong cơ chế Chính
sách Nhóm của Microsoft. Lỗi đó cung cấp thực thi mã ở
xa. Kẻ tấn côgn phải lừa một người sử dụng để
kết nối tới máy trạm của họ với miền độc hại
của kẻ tấn công, điều đặt kẻ tấn công dứt khoát
vào địa hạt của doanh nghiệp, với kể tấn công kiểm
soát miền kiểm soát hoặc có khả năng chụp như miền
kiểm soát. Đủ thú vị Microsoft đang không giải quyết
chỗ bị tổn thương trong Windows Server 2003, mà nêu rằng
sửa lỗi đó có thể quá tràn lan không đảm bảo cho
2003 tiếp tục hoạt động được. Một lý do nữa để
rời khỏi nền tảng Server 2003 càng sớm càng tốt, bổ
sung thêm vào sự kết thúc vòng đời của nền tảng này
vào tháng
07 năm nay.
Các
bản tin còn lại giải quyết các vấn đề cục bộ trong
Office (MS15-013) với một vấn đề của ASLR, Chính sách
Nhóm (MS15-014), Windows (MS15-015 và MS15-016) và Trình quản
lý Máy Ảo trong Server 2012 (MS15-017). Có một chút thông
tin hơn về MS15-016 trong bài
viết trên blog của Michal Zalewski, nơi mà ông chi tiết
hóa rằng nó đã được thấy qua chương trình afl-fuzz của
ông, một công cụ của cảnh sát mà ông đã mài giũa
khoảng vào năm ngoái, afl-fuzz thấy vài lỗi đáng ngạc
nhiên, nhưng trong trường hợp này ông chỉ chỉ ra
Microsoft đã giải quyết vấn đề hoàn toàn nhanh trong
chính xác 60 ngày từ khi mở để vá.
Toàn
bộ khá bình thường Bản vá ngày thứ Ba từ Microsoft,
với một Bản vá lớn hơn bình thường cho Internet
Explorer.
February
Patch Tuesday 2015 comes after a quite turbulent month for
information security professionals. Not so much Microsoft, but Adobe
has been keeping us busy with multiple disclosed 0-day
vulnerabilities their Flash software. All of the known issues have
been very quickly addressed by Adobe (APSB15-02,
03
and 04),
typically turning around a fix in less than a week. Still, it is
worrisome to see the amount of problems that cyber criminals are able
to find in software that we all have installed and use in our daily
lives.
Microsoft
itself posted
nine bulletins this month, four that fix remote code execution (RCE)
type vulnerabilities, and five that are rated important addressing a
number of of local vulnerabilities such as elevation of privilege and
information disclosures.
The
most important Microsoft bulletin, after installing Adobe’s
APSB14-04 is MS15-009,
is the fix for Internet Explorer (IE). All versions of IE are
affected and the patch contains the patches for 41 vulnerabilities, a
very high count, but do not forget that last month there was no IE
release, which explains this elevated number. While one of the
vulnerabilities is being used in the wild, it is not of the RCE type,
but “only” an Information Disclosure that attackers are using in
conjunction with other vulnerabilities to gain control over the
targeted machines.
Next
on our list is MS15-012,
which addresses three vulnerabilities, including a RCE type that can
be used to gain control over the user’s machine. An attacker could
trick the user into opening a specially formatted document,
frequently aided through the use of social engineering, i.e. sending
an email with an attachment that is of interest. Since this type of
attack is quite frequent we believe this bulletin should be high on
your list.
MS15-010
is a critical bulletin for the Windows Operating system addressing
six vulnerabilities that are present in all versions of the
operating system starting with Server 2003 through Windows 8.1 and
Server 2008 R2. One of the vulnerabilities, CVE-2015-0010 has been
disclosed publicly through the Project Zero from Google because its
90-day embargo period expired, but Microsoft indicates that they are
unaware of any exploitation attempts.
MS15-011
is an interesting vulnerability in Microsoft Group Policy mechanism.
The flaw provides remote code execution. The attacker has to trick a
user to connect their client machine to the attacker’s malicious
domain, which places the attack squarely into the enterprise realm,
with the attacker controlling the domain controller or able to pose
as domain controller. Interestingly enough Microsoft is not
addressing the vulnerability in Windows Server 2003, but states that
the fix would be too invasive to guarantee 2003 continued
functioning. One more reason to get off the Server 2003 platform as
soon as possible, in addition to the coming end-of-life of the
platform in July
of this year.
The
remaining bulletins address local problems in Office (MS15-013) with
an ASLR issue, Group Policy (MS15-014), Windows (MS15-015 and
MS15-016) and the Virtual Machine Manager in Server 2012 (MS15-017).
There is a bit more information about MS15-016 in the blog
post by Michal Zalewski, where he details that it was found
through his afl-fuzz program a fuzzing tool that he has been honing
for the last year or so. afl-fuzz finds some astonishing bugs, but in
this case he is just pointing out the Microsoft addressed the problem
quite rapidly in exactly 60 days from disclosure to patch.
Overall
a pretty normal Patch Tuesday from Microsoft, with a larger than
normal Internet Explorer Patch.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.