Thứ Tư, 15 tháng 4, 2015

Windows và Office có 4 bản cập nhật sống còn cho Bản vá ngày thứ Ba (tháng 4/2015)


Windows and Office get four Critical updates for Patch Tuesday

By Ed Bott for The Ed Bott Report | April 14, 2015 -- 18:43 GMT (02:43 GMT+08:00)
Bài được đưa lên Internet ngày: 14/04/2015

Lời người dịch: Bản vá ngày thứ Ba tháng 4/2015 có 4 bản vá được xếp hạng sống còn dành cho Internet Explorer, Office và Windows, gồm MS15-032, MS15-033, MS15-034MS15-035, trong đó bản vá sống còn MS15-033 cho Office được khuyến cáo áp dụng ngay lập tức. Tổng cộng, trong vòng 1 năm qua, từ tháng 5/2014 cho tới tháng 4/2015, Microsoft đã có 32 bản vá sống còn.

Tóm tắt: Là Bản và ngày thứ Ba khác, với bản cập nhật tháng này gồm một đống các sửa lỗi an toàn trong một bản cập nhật tích cóp cho Internet Explorer. Bản vá quan trọng nhất trong danh sách khóa một khai thác Office đã và đang được sử dụng trong “các cuộc tấn công có giới hạn” đang diễn ra.

Nếu bạn sử dụng Windows và Office, được chuẩn bị cho một vụ mùa bội thu khác các bản cập nhật tháng này. Trên một chiếc máy tính cá nhân PC Windows 8.1 được vá đầy đủ, tôi vừa đếm được 12 bản cập nhật quan trọng cho Windows (bao gồm cả Công cụ Loại bỏ Phần mềm Độc hại - Malicious Software Removal Tool) và 9 bản cập nhật khác cho Office 2010. Đối với Windows 7, danh sách Bản vá ngày thứ Ba tương ứng là hơi dài hơn, với tổng cộng 12 bản cập nhật cho Windows.

Tin tốt làn là bộ sưu tập tháng này các bản tin an toán chỉ gồm 4 được xếp hạng sống còn. Ngang bằng là 4 vấn đề an toàn được xếp hạng quan trọng, với việc lõm bõm thường thấy về các bản cập nhật đáng tin cậy và thực thi bí ẩn mà tài liệu của chúng còn chưa được xuất bản.

Trước hết là một bản cập nhật an toàn tích cóp cho Internet Explorer (3038314) (MS15-032). Bản cập nhật này giải quyết 10 chỗ bị tổn thương riêng rẽ và được xếp hạng sống còn cho từng phiên bản được hỗ trợ của Internet Explorer trong các phiên bản máy tính để bàn Windows và xếp hạng quan trọng cho IE trên các máy chủ (nơi mà cấu hình mặc định làm cho các khai thác khó hơn).

MS15-033 khóa một chỗ bị tổn thương “sử dụng sau giải phóng” có thể dẫn tới sự khai thác mã từ ở xa khi mở một tài liệu Office “bị làm giả đặc biệt” (nghĩa là đánh bẫy những người khờ dại). Nó được xếp hạng sống còn cho Word 2007 và Word 2010 nhưng là quan trọng với Office 2013. Microsoft nói hãng “nhận thức được về các cuộc tấn công có giới hạn cố khai thác chỗ bị tổn thương này” đang diễn ra.

Thú vị, bản tin đó cũng áp dụng được cho Office trên Mac, với Office 2011 và Outlook mới cho Mac đối với Office 365 trong danh sách các phần mềm bị ảnh hưởng.

MS15-034 giải quyết một chỗ bị tổn thương trong HTTP.sys. Nó áp dụng cho tất cả các phiên bản được hỗ trợ của Windows 7, Windows Server 2008, Windows 8, Windows Server 2012, Windows 8.1, và Windows Server 2012 R2.

Bản cập nhật an toàn sống còn cuối cùng, MS15-035, không cần trên các hệ thống chạy Windows 8.1 hoặc Windows Server 2012 và sau này, nhưng áp dụng cho Windows Vista và Windows 7 cũng như Windows Server 2003, Windows Server 2008, và Windows Server 2008 R2. Nó vá một chỗ bị tổn thương có thể cho phép thực thi mã ở xa khi một người sử dụng bị đánh lừa nháy vào tệp ảnh EMF độc hại.

Dù số lượng các bản cập nhật có thể là cao, nó đại diện cho một sự giảm lớn so với tháng trước, khi những người sử dụng PC đã thấy tới 50 hoặc hơn các bản cập nhật trong Bản vá ngày thứ Ba.

Bản cập nhật của Office đáng áp dụng ngay lập tức. Những người với tiếp cận thận trọng đối với các bản cập nhật có thể muốn chờ ít ngày để thấy liệu có hay không vụ mùa tháng này gây ra bất kỳ vấn đề gì hay không.

Summary:It's another Patch Tuesday, with this month's update including a slew of security fixes in a cumulative update for Internet Explorer. The most important patch on the list blocks an Office exploit that's already being used in "limited attacks" in the wild.
If you use Windows and Office, be prepared for another bumper crop of updates this month. On a fully patched Windows 8.1 PC, I just counted 12 Important updates for Windows (including the Malicious Software Removal Tool) and another 9 updates for Office 2010. For Windows 7, the corresponding Patch Tuesday list is a bit longer, with a total of 12 updates for Windows.
The good news is that this month's collection of security bulletins includes only four rated Critical. The balance are four security issues rated Important, with the usual smattering of mysterious performance and reliability updates whose documentation hasn't yet been published.
First up is a Cumulative Security Update for Internet Explorer (3038314) (MS15-032). This update addresses 10 separate vulnerabilities and is rated Critical for every supported version of Internet Explorer on desktop versions of Windows and Important for IE on servers (where the default configuration makes exploits more difficult).
MS15-033 blocks a "use after free" vulnerability that could lead to remote code exploitation when opening a "specially crafted" (i.e., booby-trapped) O