Các bản cập nhật Bản vá ngày thứ Ba của Microsoft khóa một cặp các khai thác cấu hình cao

Microsoft's Patch Tuesday updates block a pair of high-profile exploits

Tóm tắt: Bản vá ngày thứ Ba tháng này, Microsoft đang phục vụ một tá các bản cập nhật có liên quan tới an toàn cho Windows, bao gồm cả 2 bản sửa các chỗ bị tổn thương từng được tuyên bố công khai được đóng lại rồi. Hơn nữa đối với 5 bản cập nhật an toàn Sống Còn, danh sách ngày hôm nay bao gồm cả các sửa lỗi FREAK liên nền tảng.

Summary:In this month's Patch Tuesday, Microsoft is serving up a dozen security-related updates for Windows, including two fixes for vulnerabilities that have been publicly disclosed. In addition to five Critical security updates, today's list includes fixes for the cross-platform FREAK flaw.

By Ed Bott for The Ed Bott Report | March 10, 2015 -- 19:03 GMT (03:03 GMT+08:00)

Theo: http://www.zdnet.com/article/march-2015-patch-tuesday/

Bài được đưa lên Internet ngày: 10/03/2015

Lời người dịch: Chính thức: Bản vá ngày thứ Ba tháng 03/2015 của Microsoft có tất cả 14 bản cập nhật riêng rẽ có liên quan tới an toàn được phát hành qua các kênh cập nhật của Microsoft. Trong số đó có 5 được xếp hạng là sống còn, với 4 là cho Windows và 1 là cho Office, đó là các bản cập nhật có mã số MS15-018, MS15-019, MS15-020, MS15-021 và MS15-022. Còn lại 9 bản cập nhật được xếp hạng là quan trọng, trong đó có 8 bản cho Windows và 1 bản cho Exchange Server. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.

Bản vá ngày thứ Ba tháng này là một trong những bản vá lớn nhất gần đây, với 14 bản cập nhật riêng rẽ có liên quan tới an toàn được phát hành qua các kênh cập nhật của Microsoft. Tất cả ngoài 2 bản cập nhật là cho Windows. (Phụ thuộc vào hệ điều hành bạn sử dụng, bạn cũng sẽ thấy một số lượng lớn các bản cập nhật không có liên quan tới an toàn. Chi tiết hơn về chúng khi tôi có chúng).

5 bản cập nhật (4 cho Windows và 1 cho Office) là Sống Còn (Critical). 9 bản cập nhật còn lại được xếp là Quan trọng, tất cả cho Windows ngoại trừ một bán vá cho Exchange Server.

2 trong số các sửa lỗi là cho các chỗ bị tổn thương đã từng được công khai đóng lại rồi. Tin tốt lành cho đội Ứng cứu An toàn của Microsoft là họ đã làm sạch tất cả các vấn đề để ngỏ từ danh sách Dự án Zero của Google.

Đây là các bản cập nhật có liên quan tới an ninh trong bộ sưu tập siêu kích cỡ của tháng này.

MS15-018 là một Cập nhật An toàn Cộng dồn giải quyết thậm chí một tá các chỗ bị tổn thương và ảnh hưởng tới tất cả các phiên bản được hỗ trợ của Internet Explorer. Nó bao gồm sửa lỗi cho một chỗ bị tổn thương scripting liên site từng được công khai là đóng lại rồi trước đó trong Bản vá ngày thứ Ba của tháng 2 nhưng đã không sửa vào tháng trước.

Một sửa lỗi khác đáp lại chỗ bị tổn thương hỏng bộ nhớ cũng đã tường được công khai là đóng lại rồi, dùng trang CVE chính thức còn chưa được cập nhật với các chi tiết.

MS15-019 sửa một chỗ bị tổn thương scripting trong một vài phiên bản Windows cũ hơn; nó không ảnh hưởng tới Windows 7 và các phiên bản máy để bàn sau này hoặc các phiên bản máy chủ tương ứng. Windows Server 2012 và 2012 R2.

MS15-020 sửa một lỗi theo cách mà Microsoft Text Services điều khiển các đối tượng trong bộ nhớ và cách mà Microsoft Windows điều khiển việc tải các tệp DLL. MS15-021 giải quyết một vấn đề với Adobe Font Driver. Cả 2 chỗ bị tổn thương về lý thuyết có thể cho phép thực thi mã ở xa, dù các tóm tắt của Microsoft nói rằng khả năng có lẽ không thế.

MS15-022 áp dụng cho tất cả các phiên bản Microsoft Office (2007, 2010 và 2013), cũng như các sản phẩm Sharepoint Server và Office Web Apps dựa vào web. Nó sửa 3 chỗ bị tổn thương nổi tiếng trong các định dạng tài liệu của Office cũng như nhiều vấn đề scripting liên site cho SharePoint Server. Đầu ra tệ nhất cho phép thực thi mã ở xa.

8 trong số 9 bản cập nhật còn lại ảnh hưởng tới Microsoft Windows, với ngoại lệ một sửa lỗi cho một vấn đề của Microsoft Exchange Server.

Một bản cập nhật giải quyết một vấn đề với Windows Task Scheduler có thể cho phép một người sử dụng cục bộ vượt qua các kiểm soát truy cập tệp và chạy các tệp thực thi có quyền ưu tiên. Cái khác sửa một vấn đề có khả năng từ chối dịch vụ mà chỉ ảnh hưởng tới các hệ thống nơi mà Giao thức Máy ở Xa - RDP được bật. (Mặc định, RDP là tắt đối với tất cả các phiên bản Windows).

Và sau đó có MS15-031, nó sửa chỗ bị tổn thương Schannel được công khai rộng rãi (và liên nền tảng), còn được biết phổ biến như là kỹ thuật FREAK. Bản cập nhật này (cho tất cả các phiên bản Windows) có nghĩa là các nền tảng của Microsoft và Apple là an toàn, trong khi các phiên bản Android đã được vá rồi.

Các hệ thống với Internet Explorer 11 (bao gồm tất cả các cài đặt của Windows 8.1) cũng đang nhận được một bản cập nhật cho mã Flash Player được xây dựng sẵn trước. Các vấn đề an toàn được bản cập nhật này sửa được đề cập tới trong một bản tin riêng, còn chưa sẵn sàng từ Adobe.

Hơn nữa với một số lượng lớn các bản cập nhật có liên quan tới an toàn, bạn sẽ thấy một số lượng lớn các bản cập nhật được Khuyến cáo. Trong một cài đặt Windows 8.1, tôi đã đếm được 16 bản cập nhật riêng rẽ, hầu hết chúng nhỏ. Vi theo tập quán (gây bực bội), hầu hết các bài báo có liên quan tới Cơ sở Tri thức (Knowledge Base) giải thích lý do cho từng bản sửa lỗi là không có thời gian sẵn sàng sau khi các bản cập nhật tự chúng đã xuất hiện trong Windows Update.

This month's Patch Tuesday is one of the biggest in recent memory, with 14 separate security-related updates going out via Microsoft's update channels. All but two of the updates are for Windows. (Depending on your OS, you'll find a large number of non-security-related updates as well. More details on those when I get them.)

Five updates (four for Windows and one for Office) are rated Critical. The remaining nine are rated Important, all for Windows except for a lone Exchange Server patch.

Two of the fixes are for vulnerabilities that have already been publicly disclosed. The good news for Microsoft's Security Response team is that they've cleared all open issues from the Google Project Zero list.

Here's a rundown of the security-related updates in this month's super-sized collection.

MS15-018 is a Cumulative Security Update that addresses an even dozen vulnerabilities and affects all supported versions of Internet Explorer. It includes the fix for a cross-site scripting vulnerability that was publicly disclosed prior to February's Patch Tuesday but didn't make last month's fixes . Another fix is in response to a memory corruption vulnerability that has also been publicly disclosed, although the official CVE page hasn't yet been updated with details.

MS15-019 repairs a scripting vulnerability in some older Windows versions; it doesn't affect Windows 7 and later desktop versions or the equivalent server versions, Windows Server 2012 and 2012 R2.

MS15-020 fixes a flaw in the way Microsoft Text Services handles objects in memory and how Microsoft Windows handles the loading of DLL files. MS15-021 addresses an issue with the Adobe Font Driver. Both vulnerabilities could theoretically allow remote code execution, although Microsoft's summaries say that possibility is unlikely.

MS15-022 applies to all supported Microsoft Office versions (2007, 2010, and 2013), as well as the server-based Office Web Apps and SharePoint Server products. It fixes three known vulnerabilities in Office document formats as well as multiple cross-site scripting issues for SharePoint Server. The worst outcome allows remote code execution.

Eight of the remaining nine updates affect Microsoft Windows, with the exception being a fix for an issue in Microsoft Exchange Server.

One update resolves a problem with Windows Task Scheduler that could allow a local user to bypass file access controls and run privileged executables. Another fixes a possible denial of service issue that only affects systems where Remote Desktop Protocol (RDP) is enabled. (By default, RDP is off on all Windows versions.)

And then there's MS15-031, which fixes the widely publicized (and cross-platform) Schannel vulnerability, more popularly known as the FREAK technique. This update (for all Windows versions) means Microsoft and Apple platforms are secured, while vulnerable Android versions have yet to be patched.

Systems with Internet Explorer 11 (which includes all Windows 8.1 installations) are also receiving an update to the built-in Flash Player code. The security issues fixed by this update are addressed in a separate bulletin, not yet available from Adobe.

In addition to the large number of security-related updates, you'll find a large number of Recommended updates. On a Windows 8.1 installation, I counted 16 separate updates, most of them small. As is customary (and frustrating), most of the associated Knowledge Base articles that explain the reason for each fix were not available hours after the updates themselves appeared on Windows Update.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com