Microsoft
fixes four critical security flaws in August's Patch Tuesday
Even
Windows 10 wasn't left out of this month's bumper round of security
updates.
By
Zack Whittaker for Zero Day | August 11, 2015 -- 17:39 GMT (01:39
GMT+08:00)
Bài
được đưa lên Internet ngày: 11/08/2015
Lời
người dịch: Chính thức: Bản vá ngày thứ Ba tháng
08/2015 của Windows có “14
bản tin
sửa hầu như khoảng 5 tá các chỗ bị tổn thương khác
nhau trong Windows,
Windows Server, Internet Explorer, và Office, cùng những sản
phẩm khác”. Trong số đó có 4 lỗi sống còn là
MS15-079,
MS15-080,
MS15-081
và MS15-091.
Các lỗi sống còn trên ảnh hưởng tới trình duyệt
Internet Explorer, Microsoft
Lync, Silverlight, và .NET Framework, Office
và cả trình duyệt web của Windows
10, Edge, một cách tương ứng. Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.
Hóa
ra là có 3 điều chắc chắn trong cuộc sống: Cái chế,
các khoản thuế, và các bản vá phần mềm.
Trong
vòng sửa lỗi an toàn hàng tháng được lên lịch sẵn
của Microsoft, thậm chí hệ
điều hành mới nhất của hãng, Windows
10, cũng không thoát khỏi.
Về
Bản vá ngày thứ Ba tháng này, hãng đã phát
hành 14 bản tin sửa hầu như khoảng 5 tá các chỗ bị
tổn thương khác nhau trong Windows,
Windows Server, Internet Explorer, và Office, cùng những sản
phẩm khác.
Đây
là các lỗi sống còn nhất:
MS15-079
sửa một loạt các lỗi làm hỏng bộ nhớ trong tất cả
các phiên bản được hỗ trợ của Internet Explorer. Nếu
một người sử dụng bị lây nhiễm viếng thăm một
trang web bị làm giả đặc biệt, thì một kẻ tấn công
có thể giành được các quyền ưu tiến y hệt của người
sử dụng đó. Những người chạy như quản trị viên có
thể bị lỗi này ảnh hưởng tới nhiều nhất.
MS15-080
giải quyết các chỗ
bị tổn thương trong Microsoft
Lync, Silverlight, và .NET Framework, điều có thể cho phép
một kẻ tấn công chạy mã độc bằng việc lừa một
người sử dụng vào việc mở một trang web hoặc tài
liệu có chứa các phông TrueType
hoặc OpenType được nhúng. Kẻ tấn công có thể có khả
năng cài đặt các chương trình, xem và xóa các dữ liệu,
và tạo ra các tài khoản người sử dụng mới với các
quyền đầy đủ của quản trị viên.
MS15-081
sửa các chỗ bị tổn thương trong Office, điều có thể
cho phép một kẻ tấn công chạy mã từ ở xa như người
sử dụng được đăng nhập nếu một tệp độc hại đã
được mở. Những người sử dụng là quản trị hầu
hết bị ảnh hưởng vì bản tin này.
MS15-091
ảnh hưởng tới trình duyệt mới nhất của Windows 10,
Edge. Một kẻ tấn công có thể chạy mã độc trong một
máy bị ảnh hưởng nếu người sử dụng viếng thăm
trang web bị làm giả đặc biệt, cho phép truy cập ở mức
người sử dụng đã đăng nhập vào rồi.
Mary
Jo Foley của ZDNet nêu
các sửa lỗi không an toàn bổ sung, cho hiệu năng và chức
năng, cũng đã ảnh hưởng tới Windows 10.
Các
phát hành khác, từ MS15-082 cho tới MS15-090, và bao gồm cả
MS15-092, tất cả được xếp hạng “quan trọng”, ảnh
hưởng tới Windows, Windows Server, và Office.
Người
khổng lồ phần mềm đã thừa nhận các nhà nghiên cứu
từ Sáng kiến Ngày số Không của HP, VeriSign, Dự án Số
0 của Google, và Trend Micro, và các hãng khác, về công
việc và nghiên cứu an toàn của họ.
Các
bản vá tháng 8 sẽ sẵn sàng qua các kênh cập nhật thông
thường.
It
turns out there are three things certain in life: Death, taxes, and
software patches.
In
Microsoft's scheduled monthly round of security fixes, even the
company's newest operating system, Windows 10, wasn't let off the
hook.
For
this month's so-called Patch Tuesday, the company has issued
14 bulletins fixing almost five-dozen separate vulnerabilities in
Windows, Windows Server, Internet Explorer, and Office, among other
products.
Here's
the rundown for the most critical flaws:
MS15-079
fixes a series of memory corruption flaws in all supported versions
of Internet Explorer. If an affected user visits a specially-crafted
webpage, an attacker could gain the same user privileges as the user.
Those running as an administrator would be most affected by the flaw.
MS15-080
resolves vulnerabilities in Microsoft Lync, Silverlight, and .NET
Framework, which could allow an attacker to run malicious code by
tricking a user into opening a webpage or document containing
embedded TrueType or OpenType fonts. The attacker would be able to
install programs, view and delete data, and create new user accounts
with full administrative rights.
MS15-081
fixes vulnerabilities in Office, which would allow an attacker to
remotely run code as the logged-in user if a malicious file was
opened. Administrative users are most affected by this bulletin.
MS15-091
affects Windows 10's newest browser, Edge. An attacker could run
malicious code on an affected machine if a user visits a
specially-crafted webpage, allowing access at the logged-in user
level.
ZDNet's
Mary Jo Foley reports
additional non-security fixes, for performance and functionality,
have also landed in Windows 10.
Other
releases, from MS15-082 through to MS15-090 and including MS15-092,
are all rated "important," affecting Windows, Windows
Server, and Office.
The
software giant acknowledged researchers from HP's Zero Day
Initiative, VeriSign, Google's Project Zero, and Trend Micro, among
others, for their security work and research.
August's
patches will be available through the usual update channels.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.