Windows
and Office get four Critical updates for Patch Tuesday
By
Ed Bott for The Ed Bott Report | April 14, 2015 -- 18:43 GMT (02:43
GMT+08:00)
Bài
được đưa lên Internet ngày: 14/04/2015
Lời
người dịch: Bản vá ngày thứ Ba tháng 4/2015 có 4 bản
vá được xếp hạng sống còn dành cho Internet Explorer,
Office và Windows,
gồm MS15-032,
MS15-033,
MS15-034
và MS15-035,
trong đó bản vá sống còn MS15-033
cho Office được khuyến cáo áp dụng ngay lập tức. Tổng
cộng, trong vòng 1 năm qua, từ tháng 5/2014 cho tới tháng
4/2015, Microsoft đã có 32 bản vá sống còn.
Tóm
tắt: Là Bản và ngày thứ Ba khác, với bản cập nhật
tháng này gồm một đống các sửa lỗi an toàn trong một
bản cập nhật tích cóp cho Internet Explorer. Bản vá quan
trọng nhất trong danh sách khóa một khai thác Office đã và
đang được sử dụng trong “các cuộc tấn công có giới
hạn” đang diễn ra.
Nếu
bạn sử dụng Windows và Office, được chuẩn bị cho một
vụ mùa bội thu khác các bản cập nhật tháng này. Trên
một chiếc máy tính cá nhân PC Windows 8.1 được vá đầy
đủ, tôi vừa đếm được 12 bản cập nhật quan trọng
cho Windows (bao gồm cả Công cụ Loại bỏ Phần mềm Độc
hại - Malicious Software Removal Tool) và 9 bản cập nhật
khác cho Office 2010. Đối với Windows 7, danh sách Bản vá
ngày thứ Ba tương ứng là hơi dài hơn, với tổng cộng
12 bản cập nhật cho Windows.
Tin
tốt làn là bộ sưu tập tháng này các bản tin an toán
chỉ gồm 4 được xếp hạng sống còn. Ngang bằng là 4
vấn đề an toàn được xếp hạng quan trọng, với việc
lõm bõm thường thấy về các bản cập nhật đáng tin
cậy và thực thi bí ẩn mà tài liệu của chúng còn chưa
được xuất bản.
Trước
hết là một bản
cập nhật an toàn tích cóp cho Internet Explorer (3038314)
(MS15-032). Bản cập nhật này giải quyết 10 chỗ bị
tổn thương riêng rẽ và được xếp hạng sống còn cho
từng phiên bản được hỗ trợ của Internet Explorer trong
các phiên bản máy tính để bàn Windows và xếp hạng quan
trọng cho IE trên các máy chủ (nơi mà cấu hình mặc định
làm cho các khai thác khó hơn).
MS15-033
khóa một chỗ bị tổn thương “sử dụng sau giải
phóng” có thể dẫn tới sự khai thác mã từ ở xa khi
mở một tài liệu Office “bị làm giả đặc biệt”
(nghĩa là đánh bẫy những người khờ dại). Nó được
xếp hạng sống còn cho Word 2007 và Word 2010 nhưng là quan
trọng với Office 2013. Microsoft nói hãng “nhận thức được
về các cuộc tấn công có giới hạn cố khai thác chỗ
bị tổn thương này” đang diễn ra.
Thú
vị, bản tin đó cũng áp dụng được cho Office trên Mac,
với Office 2011 và Outlook mới cho Mac đối với Office 365
trong danh sách các phần mềm bị ảnh hưởng.
MS15-034
giải quyết một chỗ bị tổn thương trong HTTP.sys. Nó áp
dụng cho tất cả các phiên bản được hỗ trợ của
Windows 7, Windows Server 2008, Windows 8, Windows Server 2012,
Windows 8.1, và Windows Server 2012 R2.
Bản
cập nhật an toàn sống còn cuối cùng, MS15-035,
không cần trên các hệ thống chạy Windows 8.1 hoặc
Windows Server 2012 và sau này, nhưng áp dụng cho Windows Vista
và Windows 7 cũng như Windows Server 2003, Windows Server 2008, và
Windows Server 2008 R2. Nó vá một chỗ bị tổn thương có
thể cho phép thực thi mã ở xa khi một người sử dụng
bị đánh lừa nháy vào tệp ảnh EMF độc hại.
Dù
số lượng các bản cập nhật có thể là cao, nó đại
diện cho một sự giảm lớn so với tháng trước, khi
những
người sử dụng PC đã thấy tới 50 hoặc hơn các bản
cập nhật trong Bản vá ngày thứ Ba.
Bản
cập nhật của Office đáng áp dụng ngay lập tức. Những
người với tiếp cận thận trọng đối với các bản
cập nhật có thể muốn chờ ít ngày để thấy liệu có
hay không vụ mùa tháng này gây ra bất kỳ vấn đề gì
hay không.
Summary:It's
another Patch Tuesday, with this month's update including a slew of
security fixes in a cumulative update for Internet Explorer. The most
important patch on the list blocks an Office exploit that's already
being used in "limited attacks" in the wild.
If
you use Windows and Office, be prepared for another bumper crop of
updates this month. On a fully patched Windows 8.1 PC, I just counted
12 Important updates for Windows (including the Malicious Software
Removal Tool) and another 9 updates for Office 2010. For Windows 7,
the corresponding Patch Tuesday list is a bit longer, with a total of
12 updates for Windows.
The
good news is that this month's collection of security bulletins
includes only four rated Critical. The balance are four security
issues rated Important, with the usual smattering of mysterious
performance and reliability updates whose documentation hasn't yet
been published.
First
up is a Cumulative
Security Update for Internet Explorer (3038314) (MS15-032). This
update addresses 10 separate vulnerabilities and is rated Critical
for every supported version of Internet Explorer on desktop versions
of Windows and Important for IE on servers (where the default
configuration makes exploits more difficult).
MS15-033
blocks a "use after free" vulnerability that could lead to
remote code exploitation when opening a "specially crafted"
(i.e., booby-trapped) Office document. It's rated Critical for Word
2007 and Word 2010 but Important for Office 2013. Microsoft says it
is "aware of limited attacks that attempt to exploit this
vulnerability" in the wild.
Interestingly,
the bulletin is also applicable to Office on the Mac, with Office
201l and the new Outlook for Mac for Office 365 on the list of
affected software.
MS15-034
addresses a vulnerability in HTTP.sys. It applies to all supported
editions of Windows 7, Windows Server 2008 R2, Windows 8, Windows
Server 2012, Windows 8.1, and Windows Server 2012 R2
The
final Critical security update, MS15-035,
isn't needed on systems running Windows 8.1 or Windows Server 2012
and later, but does apply to Windows Vista and Windows 7 as well as
Windows Server 2003, Windows Server 2008, and Windows Server 2008 R2.
It patches a vulnerability that could allow remote code execution
when a user is fooled into clicking a malicious Enhanced Metafile
(EMF) image file.
Although
the raw number of updates might sound high, it represents a big drop
from last month, when some
PC users saw 50 or more updates on Patch Tuesday.
The
Office update is worth applying immediately. Those with a cautious
approach to updates might want to wait a few days to see whether any
of this month's crop cause problems.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.