Microsoft
Patch Tuesday for April 2015: 11 Bulletins Released
Talos
Group | April 14, 2015 at 11:40 am PST
Bài
được đưa lên Internet ngày: 14/04/2015
Lời
người dịch: Bản vá ngày thứ Ba tháng 4/2015
có tổng cộng 11 bản tin được đưa ra, giải quyết 26
CVE. 4 bản tin đầu tiên được xếp hạng sống còn
và giải quyết các chỗ bị tổn thương trong Internet
Explorer, Office, IIS, và Graphics Component. 7
bản tin còn lại được xếp hạng là quan trọng
và bao trùm các chỗ bị tổn thương trong SharePoint, Task
Scheduler, Windows, XML Core Services, Active Directory, .NET, và
Hyper-V. Các bản tin sống còn là MS15-032,
MS15-033,
MS15-034,
và MS15-035,
các bản tin quan trọng là MS15-036,
MS15-037,
MS15-038,
MS15-039,
MS15-040,
MS15-041,
và MS15-042.
Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.
Hôm
nay, Microsoft đã phát hành tập hợp hàng tháng của họ
các bản tin an toàn được thiết kế để giải quyết
các chỗ bị tổn thương về an toàn trong các sản phẩm
của họ. Phát hành tháng này có tổng cộng 11 bản tin
được đưa ra, giải quyết 26 CVE. 4 bản tin đầu tiên
được xếp hạng sống còn và giải quyết các chỗ bị
tổn thương trong Internet Explorer, Office, IIS, và Graphics
Component. 7 bản tin còn lại được xếp hạng là quan
trọng và bao trùm các chỗ bị tổn thương trong
SharePoint, Task Scheduler, Windows, XML Core Services, Active
Directory, .NET, và Hyper-V.
MS15-032,
MS15-033, MS15-034, và MS15-035 là sống còn.
MS15-032
là bản tin an toàn hàng tháng cho Internet Explorer với các
chỗ bị tổn thương trong các phiên bản từ 6-11 đang
được giải quyết. Tháng này, 10 CVE đã được giải
quyết với đa số các CVE đang là các chỗ bị tổn
thương sử dụng sau phát hành có thể gây ra sự thực
thi mã ở xa. Vài thông tin mở ra các chỗ bị tổn thương
cũng được được giải quyết tháng này.
MS15-033
giải quyết 5 chỗ bị tổn thương trong Microsoft Office,
bao gồm CVE-2015-1641, nó đã từng được mở ra công khai
và hiện đang bị khai thác. 3 chỗ bị tổn thương đó
(CVE-2015-1649,
CVE-2015-1650,
CVE-2015-1651)
là các điều kiện sử dụng sau khi phát hành đã từng
được giải quyết. 2 chỗ bị tổn thương khác
(CVE-2015-1639,
CVE-2015-1641)
là các chỗ bị tổn thương theo kịch bản liên site và
hỏng bộ nhớ đã từng được giải quyết.
MS15-034
giải quyết 1 chỗ bị tổn thương được nêu riêng trong
Windows IIS. CVE-2015-1635
là một chỗ bị tổn thương thực thi mã ở xa trong kho
giao thức HTTP trong HTTP.sys, do việc phân tích không đúng
gây ra một yêu cầu HTTP giả mạo. Để khai thác chỗ bị
tổn thương này, một kẻ tấn công có thể cần gửi một
gói độc hại giả mạo một yêu cầu HTTP hoạt động
sai tới máy chủ bị tổn thương.
MS15-035
giải quyết CVE-2015-1645,
một chỗ bị tổn thuonwg được nêu riêng trong Microsoft
Graphics Component ảnh hưởng tới Windows Server 2003, Windows
Vista, Windows Server 2008, Windows 7, và Windows Server 2008 R2.
Chỗ bị tổn thương này là một chỗ bị tổn thương
thực thi mã ở xa do Windows không phân tích ccược các tệp
định dạng hình ảnh EMF (Enhanced Metafile). Một kẻ tấn
công có thể khai thác chỗ bị tổn thương này bằng việc
làm giả một trang web độc hại bao gồm tệp hình ảnh
độc hại giả mạo hoặc bằng kỹ thuật xã hội làm
cho người sử dụng mở tệp hình ảnh giả mạo thông
qua một vài phương tiện, như thư điện tử.
Các
bản tin được xếp hạng quan trọng
MS15-036,
MS15-037, MS15-038, MS15-039, MS15-040, MS15-041, và MS15-042 được
xếp hạng là quan trọng.
MS15-036
giải quyết 2 chỗ bị tổn thương được nêu riêng trong
Microsoft Sharepoint Server 2010 SP2 và Microsoft Sharepoint Server
2013 SP1. CVE-2015-1640
và CVE-2015-1653
là các chỗ bị tổn thương kịch bản liên site (XSS) vì
SharePoint không làm sạch đúng một yêu cầu đặc thù giả
mạo tới một máy chủ SharePoint bị tổn thương. Một kẻ
tấn công có thể khai thác các chỗ bị tổn thương đó
bằng việc gửi một yêu cầu độc hại giả mạo tới
một máy chủ bị tổn thương và thực thi một cuộc tấn
công XSS. Một kẻ tấn công có thể sau đó có khả năng
có các kịch bản của chúng chạy theo ngữ cảnh của bất
kỳ người sử dụng nào khác hiện đã đăng nhập vào
site SharePoint.
MS15-037
giải quyết CVE-2015-0098,
một chỗ bị tổn thương được nêu riêng trong thành
phần Windows Task Scheduler ảnh hưởng tới Windows 7 và
Windows Server 2008 R2. Chỗ bị tổn thương này là một chỗ
bị tổn thương leo thang quyền ưu tiên vì một tác vụ
hệ thống không hợp lệ được biết đang tồn tại
trong các hệ thống nhất định. Một kẻ tấn công có ủy
quyền có thể có khả năng khai thác chỗ bị tổn thương
đó bằng việc kiểm tra để xem liệu tác vụ không hợp
lệ đó có hiện diện hay không trong hệ thống đích, và
sau đó thiết lập cấu hình lại cho tác vụ để khởi
tạo một ứng dụng theo lựa chọn của người sử dụng.
Ứng dụng đó có thể saud đó được khởi động có thể
chạy trong ngữ cảnh của người sử dụng SYSTEM.
MS15-038
giải quyết 2 chỗ bị tổn thương được nêu riêng gây
ảnh hưởng tới tất cả các phiên bản được hỗ trợ
của Windows. CVE-2015-1643
và CVE-2015-1644
là các chỗ bị tổn thương leo thang quyền ưu tiến nơi
mà Windows không ép tuân thủ đúng các mức thủ vai. Điều
này có thể cho phép một người sử dụng giành được
sự truy cập của quản trị viên và thực hiện các chức
năng quản trị tùy ý, như thêm người sử dụng và cài
đặt ứng dụng. Một kể tấn công được ủy quyền có
thể có khả năng khai thác các chỗ bị tổn thương đó
bằng việc làm giả và thực thi một ứng dụng có thể
vượt qua các kiểm tra an toàn mức thủ vai.
MS15-039
giải quyết CVE-2015-1646,
một chỗ bị tổn thương trong Microsoft XML Core Services
trong Windows Server 2003, Windows Vista, Windows Server 2008,
Windows 7, và Windows 2008 R2. Chỗ bị tổn thương này là
một vi phạm chính sách gốc như nhau nơi mà sự truy cập
dữ liệu liên miền là có khả năng trong các kịch bản
như vậy bằng một tệp XML được làm đặc biệt. Sự
khai thác chỗ bị tổn thương này có thể đòi hỏi người
sử dụng mở một tệp XML độc hại được làm giả.
Khai thác chỗ bị tổn thương này chỉ có trong Windows
Server 2012 R2 và Windows Server 2012 R2 Server Core.
MS15-040
giải quyết CVE-2015-1638,
một chỗ bị tổn thương trong Active Directory Federation
Services (ADFS). Chỗ bị tổn thương này làm một chỗ bị
tổn thương mở thông tin nơi mà ADFS không đăng xuất
đúng cho người sử dụng. Một kẻ tấn công có thể
tiềm tàng khai thác chỗ bị tổn thương này bằng việc
mở lại một cửa sổ trình duyệt sau khi nó đã được
đóng, và xem thông tin của người sử dụng khác. Chỗ bị
tổn thương này chỉ hiện diện trong Windows Server 2012 R2
và Windows Server 2012 R2 Server Core.
MS15-041
giải quyết CVE-2015-1648,
một chỗ bị tổn thương được nêu riêng trong khung
.NET. Chỗ bị tổn thương này là một chỗ bị tổn
thương mở thông tin mà có thể tiềm tàng bị khai thác
nếu một kẻ tấn công gửi một yêu cầu web được làm
giả độc hại tới máy chủ bị tổn thương. Một kẻ
tấn công có khả năng khai thác thành công chỗ bị tổn
thương này có khả năng xem các phần của tệp cấu hình
web, điều có thể làm lộ các thông tin bí mật.
MS15-042
và CVE-2015-1647,
một chỗ bị tổn thương được nêu riêng trong Windows
Hyper-V. Chỗ bị tổn thương này là một chỗ bị tổn
thương từ chối dịch vụ mà có thể tiềm tàng bị một
kẻ khai thác được ủy quyền khai thác, kẻ quản lý một
ứng dụng độc hại được làm giả trong một máy ảo
trên máy chủ Hyper-V. Kết quả là, điều này có thể gây
ra tiềm tàng lý do khác với các máy ảo đang chạy trong
cùng máy chủ host đó không quản lý được qua trình
Virtual Machine Manager. Thực thi mã ở xa hoặc leo thang quyền
ưu tiên là có khả năng với chỗ bị tổn thương này.
Sự
bao trùm
Để đối phó với những mở ra của các bản tin, Talor
đang đưa ra các quy định sau để giải quyết các chỗ
bị tổn thương đó. Lưu ý rằng các quy tắc bổ sung có
thể được đưa ra trong tương lai và các quy tắc hiện
hành tuân thủ sự thay đổi treo thông tin bị tổn thương
bổ sung. Để có thông tin về quy định hiện hành, xin
tham chiếu tới Defense Center, FireSIGHT Management Center hoặc
Snort.org.
Snort
SIDs: 34059-34099
Today,
Microsoft has released their monthly set of security bulletins
designed to address security vulnerabilities within their products.
This month’s release sees a total of 11 bulletins being released
which address 26 CVEs. The first 4 bulletins are rated Critical and
address vulnerabilities within Internet Explorer, Office, IIS, and
Graphics Component. The remaining 7 bulletins are rated Important and
cover vulnerabilities within SharePoint, Task Scheduler, Windows, XML
Core Services, Active Directory, .NET, and Hyper-V.
Bulletins
Rated Critical
MS15-032,
MS15-033, MS15-034, and MS15-035 are rated Critical.
MS15-032
is this month’s Internet Explorer security bulletin with
vulnerabilities in versions 6 through 11 being addressed. This month,
10 CVEs were addressed with the majority of those CVEs being
use-after-free vulnerabilities that could result in remote code
execution. A couple of information disclosure vulnerabilities were
also addressed this month.
MS15-033
addresses 5 vulnerabilities within Microsoft Office, including
CVE-2015-1641, which has been publicly disclosed and is currently
being exploited. Three of these vulnerabilities (CVE-2015-1649,
CVE-2015-1650,
CVE-2015-1651)
are use-after-free conditions that have been addressed. The other
two vulnerabilities (CVE-2015-1639,
CVE-2015-1641)
are cross-site scripting and memory corruption vulnerabilities that
were also addressed.
MS15-034
addresses 1 privately reported vulnerability within Windows IIS.
CVE-2015-1635
is a remote code execution vulnerability within the HTTP protocol
stack in HTTP.sys, caused by improperly parsing a crafted HTTP
request. In order to exploit this vulnerability, an attacker would
need to send a maliciously crafted packet containing a malformed HTTP
request to the vulnerable server.
MS15-035
addresses CVE-2015-1645,
a privately reported vulnerability within the Microsoft Graphics
Component affecting Windows Server 2003, Windows Vista, Windows
Server 2008, Windows 7, and Windows Server 2008 R2. This
vulnerability is a remote code execution vulnerability due to Windows
failing to parse Enhanced Metafile (EMF) image format files. An
attacker can exploit this vulnerability by crafting a malicious web
page which includes the maliciously crafted image file or by socially
engineering the user to open the crafted image file via some other
means, such as email.
Bulletins
Rated Important
MS15-036,
MS15-037, MS15-038, MS15-039, MS15-040, MS15-041, and MS15-042 are
rated Important.
MS15-036
addresses 2 privately reported vulnerabilities within Microsoft
Sharepoint Server 2010 SP2 and Microsoft Sharepoint Server 2013 SP1.
CVE-2015-1640
and CVE-2015-1653
are cross-site scripting (XSS) vulnerabilities due to SharePoint
failing to properly sanitize a specific crafted request to a
vulnerable SharePoint server. An attacker could exploit these
vulnerabilities by sending a maliciously crafted request to a
vulnerable server and perform a XSS attack. An attacker would then
be able to have their scripts run in the context of any other user
currently logged into the SharePoint site.
MS15-037
addresses CVE-2015-0098,
a privately reported vulnerability within the Windows Task Scheduler
component affecting Windows 7 and Windows Server 2008 R2. This
vulnerability is a privilege escalation vulnerability that is due to
a known invalid system task being present on certain systems. An
authenticated attacker would be able to exploit this vulnerability by
checking to see if the invalid task is present on the target system,
and then reconfiguring the task to launch an application of the
user’s choice. The application that would then be launch would run
in the context of the SYSTEM user.
MS15-038
addresses 2 privately reported vulnerabilities affecting all
supported versions of Windows. CVE-2015-1643
and CVE-2015-1644
are privilege escalation vulnerabilities where Windows fails to
properly enforce impersonation levels. This could allow a user to
gain administrator access and perform arbitrary administrative
functions, such as adding users and installing applications. An
authenticated attacker would be able to exploit these vulnerabilities
by crafting and executing an application that would bypass the
impersonation level security checks.
MS15-039
addresses CVE-2015-1646,
a privately reported vulnerability in Microsoft XML Core Services in
Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7,
and Windows 2008 R2. This vulnerability is a same-origin policy
violation where cross-domain data access is possible in certain
scenarios with a specially crafted XML file. Exploitation of this
vulnerability would require a user to open a maliciously crafted XML
file via a link to the file on a site or via an email attachment.
MS15-040
addresses CVE-2015-1638,
a privately reported vulnerability in Active Directory Federation
Services (ADFS). This vulnerability is a information disclosure
vulnerability where ADFS fails to properly logout a user. An
attacker can potentially exploit this vulnerability by reopening a
browser window after it has been closed, and view another user’s
information. This vulnerability is only present in Windows Server
2012 R2 and Windows Server 2012 R2 Server Core.
MS15-041
addresses CVE-2015-1648,
a privately reported vulnerability within the .NET framework. This
vulnerability is a information disclosure vulnerability that can
potentially be exploited if an attacker sends a maliciously crafted
web request to a vulnerable server. An attacker who is able to
successfully exploit this vulnerability would be able to view parts
of the web configuration file, which could expose sensitive
information.
MS15-042
addresses CVE-2015-1647,
a privately reported vulnerability within Windows Hyper-V. This
vulnerability is a denial of service vulnerability that can
potentially be exploited by an authenticated attacker who runs a
maliciously crafted application within a virtual machine on a Hyper-V
host. As a result, this can potentially cause other virtual machines
running on the same host to not be manageable via the Virtual Machine
Manager. Remote code execution or privilege escalation are not
possible with this vulnerability.
Coverage
In
response to these bulletin disclosures, Talos is releasing the
following rules to address these vulnerabilities. Please note that
additional rules may be released at a future date and current rules
are subject to change pending additional vulnerability information.
For the most current rule information, please refer to your Defense
Center, FireSIGHT Management Center or Snort.org.
Snort
SIDs: 34059-34099
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.