Microsoft's Patch Tuesday
updates block a pair of high-profile exploits
Tóm tắt: Bản vá ngày thứ Ba tháng này, Microsoft đang phục vụ một tá các bản cập nhật có liên quan tới an toàn cho Windows, bao gồm cả 2 bản sửa các chỗ bị tổn thương từng được tuyên bố công khai được đóng lại rồi. Hơn nữa đối với 5 bản cập nhật an toàn Sống Còn, danh sách ngày hôm nay bao gồm cả các sửa lỗi FREAK liên nền tảng.
Summary:In
this month's Patch Tuesday, Microsoft is serving up a dozen
security-related updates for Windows, including two fixes for
vulnerabilities that have been publicly disclosed. In addition to
five Critical security updates, today's list includes fixes for the
cross-platform FREAK flaw.
By Ed Bott for The Ed Bott Report | March 10, 2015 -- 19:03 GMT
(03:03 GMT+08:00)
Bài được đưa lên Internet ngày: 10/03/2015
Lời người dịch: Chính thức: Bản vá
ngày thứ Ba tháng 03/2015 của Microsoft có tất cả
14
bản cập nhật riêng rẽ có liên quan tới an toàn được
phát hành qua các kênh cập nhật của Microsoft. Trong số
đó có 5 được xếp hạng là sống còn, với 4 là cho
Windows và 1 là cho Office, đó là các bản cập nhật có
mã số MS15-018,
MS15-019,
MS15-020,
MS15-021
và
MS15-022.
Còn lại 9 bản cập nhật
được xếp hạng là quan trọng, trong đó có 8 bản cho
Windows và 1 bản cho Exchange Server. Xem
thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.
Bản vá ngày thứ Ba tháng này là một trong những bản vá
lớn nhất gần đây, với 14
bản cập nhật riêng rẽ có liên quan tới an toàn được
phát hành qua các kênh cập nhật của Microsoft. Tất cả
ngoài 2 bản cập nhật là cho Windows. (Phụ thuộc vào hệ
điều hành bạn sử dụng, bạn cũng sẽ thấy một số
lượng lớn các bản cập nhật không có liên quan tới an
toàn. Chi tiết hơn về chúng khi tôi có chúng).
5 bản cập nhật (4 cho Windows và 1 cho Office) là Sống Còn
(Critical). 9 bản cập nhật còn lại được xếp là Quan
trọng, tất cả cho Windows ngoại trừ một bán vá cho
Exchange Server.
2 trong số các sửa lỗi là cho các chỗ bị tổn thương
đã từng được công khai đóng lại rồi. Tin tốt lành
cho đội Ứng cứu An toàn của Microsoft là họ đã làm
sạch tất cả các vấn đề để ngỏ từ danh sách Dự
án Zero của Google.
Đây là các bản cập nhật có liên quan tới an ninh trong
bộ sưu tập siêu kích cỡ của tháng này.
MS15-018
là một Cập nhật An toàn Cộng dồn giải quyết thậm
chí một tá các chỗ bị tổn thương và ảnh hưởng tới
tất cả các phiên bản được hỗ trợ của Internet
Explorer. Nó bao gồm sửa lỗi cho một chỗ
bị tổn thương scripting liên site từng được công
khai là đóng lại rồi trước đó trong Bản vá ngày thứ
Ba của tháng 2 nhưng đã
không sửa vào tháng trước.
Một sửa lỗi khác đáp lại chỗ bị tổn thương hỏng
bộ nhớ cũng đã tường được công khai là đóng lại
rồi, dùng trang CVE chính thức còn chưa được cập nhật
với các chi tiết.
MS15-019
sửa một chỗ bị tổn thương scripting trong một vài
phiên bản Windows cũ hơn; nó không ảnh hưởng tới
Windows 7 và các phiên bản máy để bàn sau này hoặc các
phiên bản máy chủ tương ứng. Windows Server 2012 và 2012
R2.
MS15-020
sửa một lỗi theo cách mà Microsoft Text Services điều
khiển các đối tượng trong bộ nhớ và cách mà Microsoft
Windows điều khiển việc tải các tệp DLL. MS15-021
giải quyết một vấn đề với Adobe Font Driver. Cả 2 chỗ
bị tổn thương về lý thuyết có thể cho phép thực thi
mã ở xa, dù các tóm tắt của Microsoft nói rằng khả
năng có lẽ không thế.
MS15-022
áp dụng cho tất cả các phiên bản Microsoft Office (2007,
2010 và 2013), cũng như các sản phẩm Sharepoint Server và
Office Web Apps dựa vào web. Nó sửa 3 chỗ bị tổn thương
nổi tiếng trong các định dạng tài liệu của Office cũng
như nhiều vấn đề scripting liên site cho SharePoint Server.
Đầu ra tệ nhất cho phép thực thi mã ở xa.
8 trong số 9 bản cập nhật còn lại ảnh hưởng tới
Microsoft Windows, với ngoại lệ một sửa
lỗi cho một vấn đề của Microsoft Exchange Server.
Một bản cập nhật giải quyết một
vấn đề với Windows Task Scheduler có thể cho phép một
người sử dụng cục bộ vượt qua các kiểm soát truy
cập tệp và chạy các tệp thực thi có quyền ưu tiên.
Cái khác sửa một vấn
đề có khả năng từ chối dịch vụ mà chỉ ảnh
hưởng tới các hệ thống nơi mà Giao thức Máy ở Xa -
RDP được bật. (Mặc định, RDP là tắt đối với tất
cả các phiên bản Windows).
Và sau đó có MS15-031,
nó sửa chỗ bị tổn thương Schannel được công khai rộng
rãi (và liên nền tảng), còn được biết phổ biến như
là kỹ
thuật FREAK. Bản cập nhật này (cho tất cả các phiên
bản Windows) có nghĩa là các nền tảng của Microsoft và
Apple là an toàn, trong khi các
phiên bản Android đã được vá rồi.
Các hệ thống với Internet Explorer 11 (bao gồm tất cả
các cài đặt của Windows 8.1) cũng đang nhận được một
bản cập nhật cho mã Flash Player được xây dựng sẵn
trước. Các vấn đề an toàn được bản cập nhật này
sửa được đề cập tới trong một bản tin riêng, còn
chưa sẵn sàng từ Adobe.
Hơn nữa với một số lượng lớn các bản cập nhật có
liên quan tới an toàn, bạn sẽ thấy một số lượng lớn
các bản cập nhật được Khuyến cáo. Trong một cài đặt
Windows 8.1, tôi đã đếm được 16 bản cập nhật riêng
rẽ, hầu hết chúng nhỏ. Vi theo tập quán (gây bực bội),
hầu hết các bài báo có liên quan tới Cơ sở Tri thức
(Knowledge Base) giải thích lý do cho từng bản sửa lỗi là
không có thời gian sẵn sàng sau khi các bản cập nhật tự
chúng đã xuất hiện trong Windows Update.
This month's Patch Tuesday is one
of the biggest in recent memory, with 14
separate security-related updates going out via Microsoft's
update channels. All but two of the updates are for Windows.
(Depending on your OS, you'll find a large number of
non-security-related updates as well. More details on those when I
get them.)
Five updates (four for Windows and
one for Office) are rated Critical. The remaining nine are rated
Important, all for Windows except for a lone Exchange Server patch.
Two of the fixes are for
vulnerabilities that have already been publicly disclosed. The good
news for Microsoft's Security Response team is that they've cleared
all open issues from the Google Project Zero list.
Here's a rundown of the
security-related updates in this month's super-sized collection.
MS15-018
is a Cumulative Security Update that addresses an even dozen
vulnerabilities and affects all supported versions of Internet
Explorer. It includes the fix for a cross-site
scripting vulnerability that was publicly disclosed prior to
February's Patch Tuesday but didn't
make last month's fixes . Another fix is in response to a memory
corruption vulnerability that has also been publicly disclosed,
although the official CVE page hasn't yet been updated with details.
MS15-019
repairs a scripting vulnerability in some older Windows versions; it
doesn't affect Windows 7 and later desktop versions or the equivalent
server versions, Windows Server 2012 and 2012 R2.
MS15-020
fixes a flaw in the way Microsoft Text Services handles objects in
memory and how Microsoft Windows handles the loading of DLL files.
MS15-021
addresses an issue with the Adobe Font Driver. Both vulnerabilities
could theoretically allow remote code execution, although Microsoft's
summaries say that possibility is unlikely.
MS15-022
applies to all supported Microsoft Office versions (2007, 2010, and
2013), as well as the server-based Office Web Apps and SharePoint
Server products. It fixes three known vulnerabilities in Office
document formats as well as multiple cross-site scripting issues for
SharePoint Server. The worst outcome allows remote code execution.
Eight of the remaining nine updates
affect Microsoft Windows, with the exception being a fix
for an issue in Microsoft Exchange Server.
One update resolves a
problem with Windows Task Scheduler that could allow a local user
to bypass file access controls and run privileged executables.
Another fixes a possible
denial of service issue that only affects systems where Remote
Desktop Protocol (RDP) is enabled. (By default, RDP is off on all
Windows versions.)
And then there's MS15-031,
which fixes the widely publicized (and cross-platform) Schannel
vulnerability, more popularly known as the FREAK
technique. This update (for all Windows versions) means Microsoft
and Apple platforms are secured, while vulnerable Android
versions have yet to be patched.
Systems with Internet Explorer 11
(which includes all Windows 8.1 installations) are also receiving an
update to the built-in Flash Player code. The security issues fixed
by this update are addressed in a separate bulletin, not yet
available from Adobe.
In addition to the large number of
security-related updates, you'll find a large number of Recommended
updates. On a Windows 8.1 installation, I counted 16 separate
updates, most of them small. As is customary (and frustrating), most
of the associated Knowledge Base articles that explain the reason for
each fix were not available hours after the updates themselves
appeared on Windows Update.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.