Microsoft sửa 4 lỗi an toàn sống còn trong Bản vá ngày thứ Ba tháng 08/2015

Microsoft fixes four critical security flaws in August's Patch Tuesday

Even Windows 10 wasn't left out of this month's bumper round of security updates.

By Zack Whittaker for Zero Day | August 11, 2015 -- 17:39 GMT (01:39 GMT+08:00)

Theo: http://www.zdnet.com/article/august-2015-patch-tuesday/

Bài được đưa lên Internet ngày: 11/08/2015

Lời người dịch: Chính thức: Bản vá ngày thứ Ba tháng 08/2015 của Windows có “14 bản tin sửa hầu như khoảng 5 tá các chỗ bị tổn thương khác nhau trong Windows, Windows Server, Internet Explorer, và Office, cùng những sản phẩm khác”. Trong số đó có 4 lỗi sống còn là MS15-079, MS15-080, MS15-081 và MS15-091. Các lỗi sống còn trên ảnh hưởng tới trình duyệt Internet Explorer, Microsoft Lync, Silverlight, và .NET Framework, Office và cả trình duyệt web của Windows 10, Edge, một cách tương ứng. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.

Hóa ra là có 3 điều chắc chắn trong cuộc sống: Cái chế, các khoản thuế, và các bản vá phần mềm.

Trong vòng sửa lỗi an toàn hàng tháng được lên lịch sẵn của Microsoft, thậm chí hệ điều hành mới nhất của hãng, Windows 10, cũng không thoát khỏi.

Về Bản vá ngày thứ Ba tháng này, hãng đã phát hành 14 bản tin sửa hầu như khoảng 5 tá các chỗ bị tổn thương khác nhau trong Windows, Windows Server, Internet Explorer, và Office, cùng những sản phẩm khác.

Đây là các lỗi sống còn nhất:

MS15-079 sửa một loạt các lỗi làm hỏng bộ nhớ trong tất cả các phiên bản được hỗ trợ của Internet Explorer. Nếu một người sử dụng bị lây nhiễm viếng thăm một trang web bị làm giả đặc biệt, thì một kẻ tấn công có thể giành được các quyền ưu tiến y hệt của người sử dụng đó. Những người chạy như quản trị viên có thể bị lỗi này ảnh hưởng tới nhiều nhất.

MS15-080 giải quyết các chỗ bị tổn thương trong Microsoft Lync, Silverlight, và .NET Framework, điều có thể cho phép một kẻ tấn công chạy mã độc bằng việc lừa một người sử dụng vào việc mở một trang web hoặc tài liệu có chứa các phông TrueType hoặc OpenType được nhúng. Kẻ tấn công có thể có khả năng cài đặt các chương trình, xem và xóa các dữ liệu, và tạo ra các tài khoản người sử dụng mới với các quyền đầy đủ của quản trị viên.

MS15-081 sửa các chỗ bị tổn thương trong Office, điều có thể cho phép một kẻ tấn công chạy mã từ ở xa như người sử dụng được đăng nhập nếu một tệp độc hại đã được mở. Những người sử dụng là quản trị hầu hết bị ảnh hưởng vì bản tin này.

MS15-091 ảnh hưởng tới trình duyệt mới nhất của Windows 10, Edge. Một kẻ tấn công có thể chạy mã độc trong một máy bị ảnh hưởng nếu người sử dụng viếng thăm trang web bị làm giả đặc biệt, cho phép truy cập ở mức người sử dụng đã đăng nhập vào rồi.

Mary Jo Foley của ZDNet nêu các sửa lỗi không an toàn bổ sung, cho hiệu năng và chức năng, cũng đã ảnh hưởng tới Windows 10.

Các phát hành khác, từ MS15-082 cho tới MS15-090, và bao gồm cả MS15-092, tất cả được xếp hạng “quan trọng”, ảnh hưởng tới Windows, Windows Server, và Office.

Người khổng lồ phần mềm đã thừa nhận các nhà nghiên cứu từ Sáng kiến Ngày số Không của HP, VeriSign, Dự án Số 0 của Google, và Trend Micro, và các hãng khác, về công việc và nghiên cứu an toàn của họ.

Các bản vá tháng 8 sẽ sẵn sàng qua các kênh cập nhật thông thường.

It turns out there are three things certain in life: Death, taxes, and software patches.

In Microsoft's scheduled monthly round of security fixes, even the company's newest operating system, Windows 10, wasn't let off the hook.

For this month's so-called Patch Tuesday, the company has issued 14 bulletins fixing almost five-dozen separate vulnerabilities in Windows, Windows Server, Internet Explorer, and Office, among other products.

Here's the rundown for the most critical flaws:

MS15-079 fixes a series of memory corruption flaws in all supported versions of Internet Explorer. If an affected user visits a specially-crafted webpage, an attacker could gain the same user privileges as the user. Those running as an administrator would be most affected by the flaw.

MS15-080 resolves vulnerabilities in Microsoft Lync, Silverlight, and .NET Framework, which could allow an attacker to run malicious code by tricking a user into opening a webpage or document containing embedded TrueType or OpenType fonts. The attacker would be able to install programs, view and delete data, and create new user accounts with full administrative rights.

MS15-081 fixes vulnerabilities in Office, which would allow an attacker to remotely run code as the logged-in user if a malicious file was opened. Administrative users are most affected by this bulletin.

MS15-091 affects Windows 10's newest browser, Edge. An attacker could run malicious code on an affected machine if a user visits a specially-crafted webpage, allowing access at the logged-in user level.

ZDNet's Mary Jo Foley reports additional non-security fixes, for performance and functionality, have also landed in Windows 10.

Other releases, from MS15-082 through to MS15-090 and including MS15-092, are all rated "important," affecting Windows, Windows Server, and Office.

The software giant acknowledged researchers from HP's Zero Day Initiative, VeriSign, Google's Project Zero, and Trend Micro, among others, for their security work and research.

August's patches will be available through the usual update channels.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com