Bản vá ngày thứ Ba tháng 9/2015: Nhiều lỗi sống còn trong Microsoft Office được sửa

September 2015 Patch Tuesday: More critical Microsoft Office fixes

by Michael Heller, Senior Reporter, Published: 08 Sep 2015

Theo: http://searchsecurity.techtarget.com/news/4500253095/September-2015-Patch-Tuesday-More-critical-Microsoft-Office-fixes

Bài được đưa lên Internet ngày: 08/09/2015

Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014;

Xem thêm cho tháng này:

• https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/09/08/patch-tuesday-september-2015
• https://isc.sans.edu/diary/September+2015+Microsoft+Patch+Tuesday/20129
• http://blogs.cisco.com/security/talos/ms-tuesday-sept-2015

Bản vá ngày thứ Ba tháng 9/2015 của Microsoft là sẵn sàng bây giờ và bao gồm 5 bản tin sống còn, 2 trong số đó động chạm tới các lỗi thực thi từ ở xa trong Microsoft Office.

Các sửa lỗi của Bản vá ngày thứ Ba tháng 9/2015 của Microsoft được tung ra hôm nay gồm tổng số 12 bản tin, 5 trong số đó nhằm vào các chỗ bị tổn thương thực thi mã ở xa sống còn trong một loạt các sản phẩm.

Đứng đầu trong danh sách, theo các chuyên gia, là các bản tin sống còn ảnh hưởng tới Microsoft Office. MS15-097 chi tiết hóa các chỗ bị tổn thương trong Microsoft Graphics Component, điều có thể cho phép thực thi mã từ ở xa (RCE) nếu một người sử dụng mở một tài liệu được làm giả đặc biệt hoặc viếng thăm một trang web chứa các phông chữ OpenType được nhúng.

Bản vá nghiêm trọng nhất là cho chỗ bị tổn thương tràn bộ nhớ của thành phần đồ họa Graphics Component (CVE-2015-2510) mà được xếp hạng sống còn cho Microsoft Lync, Office 2007 và 2010, cũng như Windows Vista và Server 2008. Lỗi đó là trong cách thư viện quản lý dạng Adobe của Windows (Windows Adobe Type Manager Library) điều khiển các phông chữ OpenType. Nó có thể bị khai thác bởi việc thuyết phục một người sử dụng mở một tài liệu được làm giả đặc biệt hoặc viếng thăm một trang web không tin cậy chứa các phông OpenType được nhúng đó. Microsoft lưu ý rằng một khai thác thành công có thể cho phép một kẻ tấn công cài đặt các chương trình; xem, thay đổi hoặc xóa các dữ liệu; và tạo các tài khoản mới, với các quyền đầy đủ của người sử dụng.

Microsoft's September 2015 Patch Tuesday is available now and includes five critical bulletins, two of which tackle remote code execution flaws affecting Microsoft Office.

Microsoft's September 2015 Patch Tuesday fixes, released today, include 12 total bulletins, five of which target critical remote code execution vulnerabilities in various products.

The top of the list, according to experts, are critical bulletins that affect Microsoft Office. MS15-097 details vulnerabilities in the Microsoft Graphics Component, which could allow remote code execution (RCE) if a user opens a specially crafted document or visits an untrusted webpage that contains embedded OpenType fonts.

The most serious patch is for a Graphics Component buffer overflow vulnerability (CVE-2015-2510) that is rated critical for Microsoft Lync, Office 2007 and 2010, as well as Windows Vista and Server 2008. The flaw is in how the Windows Adobe Type Manager Library handles OpenType fonts. It could be exploited by convincing a user to open a specially crafted document or to visit an untrusted webpage that contains embedded OpenType fonts. Microsoft notes that a successful exploit would allow an attacker to install programs; view, change or delete data; and create new accounts, with full user rights.

Craig Young, nhà nghiên cứu về an toàn máy tính với độ nghiên cứu chỗ bị tổn thương và phơi lộ ở Tripwire Inc., có trụ sở ở Portland, Ore., nói bản tin này sẽ phục vụ như một cảnh báo về các hệ thống nâng cấp.

“[Chỗ bị tổn thương này] chó thể không có tác động về an toàn lên Windows 7 hoặc các hệ thống sau này”, Young nói. “Dù Microsoft không cung cấp lý do kỹ thuật cho điều này, thì nó dường như có khả năng là việc tăng cường an toàn chung trong các nền tảng mới hơn đã khóa vector của cuộc tấn công này trước khi nó thậm chí hiểu ra, đưa ra một lý do khác cho những người quản trị không chỉ có thời gian cập nhật các bản vá, mà còn duy trì được một hệ điều hành thế hệ hiện nay”.

MS15-099 là bản tin khác cho chỗ bị tổn thương RCE ảnh hưởng tới tất cả các phiên bản được hỗ trợ của Microsoft Office. Lỗi sống còn nhất trong bản tin này là về chỗ bị tổn thương có thể bị khai thác nếu một người sử dụng bị/được thuyết phục mở một tệp hình ảnh EPS bị nhiễm độc. Microsoft nói hầu hết các vector để khai thác đòi hỏi người sử dụng mở một tập bị làm giả đặc biệt, nhưng Wolfgang Kandek, CTO ở Qualys Inc., có trụ sở ở Redwood City, California, nói rằng có điều đó có thể được thực hiện dễ dàng.

“Những kẻ tấn công có thể lừa đơn giản những người sử dụng trong việc mở ra các tệp đó bằng việc ngụy trang chúng như thứ gì đó vô hại và thú vị”, Kandek đã lưu ý, “nói, một sự phục hồi cho một vị thế mở được liệt kê trên site của bạn, một bài báo về chủ đề làm bạn thấy thú vị, hoặc một lời chào mời về qui chế thành viên miễn phí hoặc những lợi ích khác cho vài trong số những người sử dụng của bạn”.

Young đồng ý rằng dễ phân phối cho một khai thác chỗ bị tổn thương này ngụ ý các tổ chức nên lưu ý để giáo dục cho những người sử dụng về các rủi ro đó.

“Nói chung, MS15-099 sẽ phục vụ như một bộ nhắc nhở những người sử dụng không thận trọng khi mở các tài liệu nhận được thông qua thư điện tử hoặc từ Web”, Young nói. “Các định dạng tệp được các công cụ Microsoft Office và các chương trình tương tự xử lý là quá phức tạp mà có, thường thấy, một kho bất tận các chỗ bị tổn thương. Các vấn đề mới luôn được mở ra và được sửa, nhưng có khả năng là đây chỉ là đỉnh của tảng băng rất lớn, có lẽ với nhiều chỗ bị tổn thương hơn nhiều đang âm thầm bị khai thác mà không có sự phát hiện công khai”.

Như được kỳ vọng trong từng Bản vá ngày thứ Ba, có một bản tin cho những sửa lỗi khác nhau được phát hành cho Internet Explorer (MS15-094), nhưng bây giờ, cũng có một bản tin cho trình duyệt mới Edge của Microsoft (MS15-095) cho những ai đang sử dụng Windows 10. Các chỗ bị tổn thương sống còn trong Edge cũng được đưa vào trong các bản vá IE, và tất cả các chỗ bị tổn thương được xếp hạng thông thường trong Widows Server, vì IE chạy trong chế độ có hạn chế cấu hình an toàn được nâng cao (Enhanced Security Configuration) một cách mặc định, điều làm giảm nhẹ một chút rủi ro.

Bản tin sống còn cuối cùng (MS15-096) bao trùm một lỗi Windows Journal có thể cho phép thực thi mã ở xa nếu người sử dụng mở một tệp Journal bị làm giả đặc biệt. Lỗi đó ảnh hưởng tới tất cả các phiên bản Windows được hỗ trợ, nhưng các chuyên gia đã lưu ý rằng Journal không được nhiều người sử dụng, nên bản tin này chỉ là một ưu tiên cao cho các tổ chức sử dụng Windows Journal.

Các chuyên gia đã lưu ý 2 bản tin được gắn nhãn là quan trọng sẽ được giữ trong đầu cho việc chạy các bản chuyên nghiệp Active Directory (MS15-096) hoặc các tính năng của Outlook Web Access của máy chủ Exchange (MS15-103). Lỗi của Active Directory có thể cho phép từ chối dịch vụ nếu một kẻ tấn công không được phép tạo nhiều tài khoản máy, nhưng Microsoft nói một kẻ tấn công phải có tài khoản có quyền ưu tiên ra nhập các máy tính tới miền đó để khai thác chỗ bị tổn thương này. Chỗ bị tổn thương của Exchange Server có thể cho phép mở ra thông tin nếu Outlook Web Access không điều khiển đúng các yêu cầu của Web, cũng như làm sạch đầu vào và nội dung thư điện tử của người sử dụng.

Ngoài các sửa lỗi của Microsoft Office và các bản vá sống còn khác, các bản tin còn lại -- MS15-100, MS15-101, MS15-102, MS15-104 và MS15-105 -- giải quyết các chỗ bị tổn thương trong Windows Media Center, .NET, Windows Task Manager, Skype for Business và Hyper-V. Tác động khai thác tiềm năng của từng lỗi đó bao gồm thực thi mã từ ở xa, leo thang quyền ưu tiên, lộ thông tin và bỏ qua an toàn. Nhưng tất cả chúng được xếp hạng là quan trọng, ngụ ý chúng chỉ có thể bị lạm dụng nếu kẻ tấn công là có rồi trên máy tính.

Craig Young, computer security researcher with Tripwire Inc.'s Vulnerability and Exposures Research Team, based in Portland, Ore., said this bulletin should serve as a warning about upgrading systems.

"[This vulnerability] would have no security impact [on] Windows 7 or later systems," Young said. "Although Microsoft does not provide a technical reason for this, it seems likely that general security hardening in the newer platforms blocked this attack vector before it was even known, giving yet another reason for administrators to not only stay up to date with patches, but also to maintain a current-generation operating system."

MS15-099 is another bulletin for an RCE vulnerability that affects all supported versions of Microsoft Office. The most critical flaw in this bulletin is for a vulnerability that could be exploited if a user is convinced to open a malformed EPS image file. Microsoft said most vectors for exploit require a user to open a specially crafted file, but Wolfgang Kandek, CTO at Qualys Inc., based in Redwood City, Calif., said that can be done easily.

"Attackers would typically trick users into opening these files by disguising them as something harmless and interesting," Kandek noted, "say, a resume for an open position listed on your site, an article about a subject that is interesting to you, or an offer for a free membership or other benefits to some of your users."

Young agreed that the ease of delivery for an exploit of this vulnerability means organizations should make it a point to educate users about these risks.

"In general, MS15-099 should serve as a reminder to users not to use caution when opening documents received via email or downloaded from the Web," Young said. "The file formats processed by Microsoft Office tools and similar programs are so complex that there is, quite literally, a never-ending stack of vulnerabilities. New issues are always being disclosed and fixed, but it is likely that this is just the tip of a very large iceberg, with perhaps far more vulnerabilities being quietly exploited without public disclosure."

As is expected in each Patch Tuesday release, there is a bulletin for the various fixes released for Internet Explorer (MS15-094), but now, there is also a bulletin for the new Microsoft Edge browser (MS15-095) for those using Windows 10. The critical vulnerabilities in Edge are also included in the IE patches, and all vulnerabilities are rated as critical RCE flaws on supported Windows clients. However, those same vulnerabilities in IE are only rated as moderate on Windows Server, because IE runs in an Enhanced Security Configuration restricted mode by default, which mitigates some risk.

The final critical bulletin (MS15-096) covers a Windows Journal flaw that could allow for remote code execution if a user were to open a specially crafted Journal file. The flaw affects all supported versions of Windows, but experts noted that Journal is not used by many, so this bulletin is only a high priority for organizations using Windows Journal.

Experts noted two bulletins labeled as important should be kept in mind for enterprises running Active Directory (MS15-096) or Outlook Web Access features of Exchange server (MS15-103). The Active Directory flaw could allow denial of service if an authenticated attacker creates multiple machine accounts, but Microsoft said an attacker must have an account that has privileges to join machines to the domain in order to exploit this vulnerability. The Exchange Server vulnerability could allow information disclosure if Outlook Web Access fails to properly handle Web requests, as well as sanitize user input and email content.

Besides the Microsoft Office fixes and other critical patches, the remaining bulletins -- MS15-100, MS15-101, MS15-102, MS15-104 and MS15-105 -- address vulnerabilities in Windows Media Center, .NET, Windows Task Manager, Skype for Business and Hyper-V. The potential exploit impact of each includes remote code execution, elevation of privilege, information disclosure and security bypass. But all are rated important, meaning they can only be abused if the attacker is already on the machine.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com