September
2015 Patch Tuesday: More critical Microsoft Office fixes
by
Michael Heller, Senior Reporter, Published: 08 Sep 2015
Bài
được đưa lên Internet ngày: 08/09/2015
Xem
thêm cho tháng này:
Bản
vá ngày thứ Ba tháng 9/2015 của Microsoft là sẵn sàng bây
giờ và bao gồm 5 bản tin sống còn, 2 trong số đó động
chạm tới các lỗi thực thi từ ở xa trong Microsoft
Office.
Các
sửa lỗi của Bản
vá ngày thứ Ba tháng 9/2015 của Microsoft được tung ra
hôm
nay gồm tổng số 12 bản tin, 5 trong số đó nhằm vào
các chỗ bị tổn thương thực thi mã ở xa sống còn
trong một loạt các sản phẩm.
Đứng
đầu trong danh sách, theo các chuyên gia, là các bản tin
sống còn ảnh hưởng tới Microsoft Office. MS15-097
chi tiết hóa các chỗ bị tổn thương trong Microsoft
Graphics Component, điều có thể cho phép thực
thi mã từ ở xa (RCE) nếu một người sử dụng mở
một tài liệu được làm giả đặc biệt hoặc viếng
thăm một trang web chứa các phông chữ OpenType được
nhúng.
Bản
vá nghiêm trọng nhất là cho chỗ bị tổn thương tràn bộ
nhớ của thành phần đồ họa Graphics Component
(CVE-2015-2510) mà được xếp hạng sống còn cho Microsoft
Lync, Office 2007 và 2010, cũng như Windows Vista và Server 2008.
Lỗi đó là trong cách thư viện quản lý dạng Adobe của
Windows (Windows Adobe Type Manager Library) điều khiển các
phông chữ OpenType. Nó có thể bị khai thác bởi việc
thuyết phục một người sử dụng mở một tài liệu
được làm giả đặc biệt hoặc viếng thăm một trang
web không tin cậy chứa các phông OpenType được nhúng đó.
Microsoft lưu ý rằng một khai thác thành công có thể cho
phép một kẻ tấn công cài đặt các chương trình; xem,
thay đổi hoặc xóa các dữ liệu; và tạo các tài khoản
mới, với các quyền đầy đủ của người sử dụng.
Microsoft's
September 2015 Patch Tuesday is available now and includes five
critical bulletins, two of which tackle remote code execution flaws
affecting Microsoft Office.
Microsoft's
September 2015 Patch
Tuesday fixes, released today,
include 12 total bulletins, five of which target critical remote code
execution vulnerabilities in various products.
The
top of the list, according to experts, are critical bulletins that
affect Microsoft Office. MS15-097
details vulnerabilities in the Microsoft Graphics Component, which
could allow remote
code execution (RCE) if a user opens a specially crafted document
or visits an untrusted webpage that contains embedded OpenType fonts.
The
most serious patch is for a Graphics Component buffer overflow
vulnerability (CVE-2015-2510) that is rated critical for Microsoft
Lync, Office 2007 and 2010, as well as Windows Vista and Server 2008.
The flaw is in how the Windows Adobe Type Manager Library handles
OpenType fonts. It could be exploited by convincing a user to open a
specially crafted document or to visit an untrusted webpage that
contains embedded OpenType fonts. Microsoft notes that a successful
exploit would allow an attacker to install programs; view, change or
delete data; and create new accounts, with full user rights.
Craig
Young, nhà nghiên cứu về an toàn máy tính với độ nghiên
cứu chỗ bị tổn thương và phơi lộ ở Tripwire Inc., có
trụ sở ở Portland, Ore., nói bản tin này sẽ phục vụ
như một cảnh báo về các hệ thống nâng cấp.
“[Chỗ
bị tổn thương này] chó thể không có tác động về an
toàn lên Windows 7 hoặc các hệ thống sau này”, Young nói.
“Dù Microsoft không cung cấp lý do kỹ thuật cho điều
này, thì nó dường như có khả năng là việc tăng cường
an toàn chung trong các nền tảng mới hơn đã khóa vector
của cuộc tấn công này trước khi nó thậm chí hiểu
ra, đưa ra một lý do khác cho những người quản trị
không chỉ có thời gian cập nhật các bản vá, mà còn
duy trì được một hệ điều hành thế hệ hiện nay”.
MS15-099
là bản tin khác cho chỗ bị tổn thương RCE ảnh hưởng
tới tất cả các phiên bản được hỗ trợ của
Microsoft Office. Lỗi sống còn nhất trong bản tin này là
về chỗ bị tổn thương có thể bị khai thác nếu một
người sử dụng bị/được thuyết phục mở một tệp
hình ảnh EPS bị nhiễm độc. Microsoft nói hầu hết các
vector để khai thác đòi hỏi người sử dụng mở một
tập bị làm giả đặc biệt, nhưng Wolfgang Kandek, CTO ở
Qualys Inc., có trụ sở ở Redwood City, California, nói rằng
có điều đó có thể được thực hiện dễ dàng.
“Những
kẻ tấn công có thể lừa đơn giản những người sử
dụng trong việc mở ra các tệp đó bằng việc ngụy
trang chúng như thứ gì đó vô hại và thú vị”, Kandek
đã lưu ý, “nói, một sự phục hồi cho một vị thế
mở được liệt kê trên site của bạn, một bài báo về
chủ đề làm bạn thấy thú vị, hoặc một lời chào mời
về qui chế thành viên miễn phí hoặc những lợi ích
khác cho vài trong số những người sử dụng của bạn”.
Young
đồng ý rằng dễ phân phối cho một khai thác chỗ bị
tổn thương này ngụ ý các tổ chức nên lưu ý để giáo
dục cho những người sử dụng về các rủi ro đó.
“Nói
chung, MS15-099 sẽ phục vụ như một bộ nhắc nhở những
người sử dụng không thận trọng khi mở các tài liệu
nhận được thông qua thư điện tử hoặc từ Web”,
Young nói. “Các định dạng tệp được các công cụ
Microsoft Office và các chương trình tương tự xử lý là
quá phức tạp mà có, thường thấy, một kho bất tận
các chỗ bị tổn thương. Các vấn đề mới luôn được
mở ra và được sửa, nhưng có khả năng là đây chỉ là
đỉnh của tảng băng rất lớn, có lẽ với nhiều chỗ
bị tổn thương hơn nhiều đang âm thầm bị khai thác mà
không có sự phát hiện công khai”.
Như
được kỳ vọng trong từng Bản
vá ngày thứ Ba, có một bản tin cho những sửa lỗi
khác nhau được phát hành cho Internet Explorer (MS15-094),
nhưng bây giờ, cũng có một bản tin cho trình
duyệt mới Edge của Microsoft (MS15-095)
cho những ai đang sử dụng Windows 10. Các chỗ bị tổn
thương sống còn trong Edge cũng được đưa vào trong các
bản vá IE, và tất cả các chỗ bị tổn thương được
xếp hạng thông thường trong Widows Server, vì IE chạy
trong chế độ có hạn chế cấu hình an toàn được nâng
cao (Enhanced Security Configuration) một cách mặc định, điều
làm giảm nhẹ một chút rủi ro.
Bản
tin sống còn cuối cùng (MS15-096)
bao trùm một lỗi Windows Journal có thể cho phép thực thi
mã ở xa nếu người sử dụng mở một tệp Journal bị
làm giả đặc biệt. Lỗi đó ảnh hưởng tới tất cả
các phiên bản Windows được hỗ trợ, nhưng các chuyên
gia đã lưu ý rằng Journal không được nhiều người sử
dụng, nên bản tin này chỉ là một ưu tiên cao cho các tổ
chức sử dụng Windows Journal.
Các
chuyên gia đã lưu ý 2 bản tin được gắn nhãn là quan
trọng sẽ được giữ trong đầu cho việc chạy các bản
chuyên nghiệp Active Directory (MS15-096)
hoặc các tính năng của Outlook Web Access của máy chủ
Exchange (MS15-103).
Lỗi của Active Directory có thể cho phép từ chối dịch
vụ nếu một kẻ tấn công không được phép tạo nhiều
tài khoản máy, nhưng Microsoft nói một kẻ tấn công phải
có tài khoản có quyền ưu tiên ra nhập các máy tính tới
miền đó để khai thác chỗ bị tổn thương này. Chỗ bị
tổn thương của Exchange Server có thể cho phép mở ra
thông tin nếu Outlook Web Access không điều khiển đúng các
yêu cầu của Web, cũng như làm sạch đầu vào và nội
dung thư điện tử của người sử dụng.
Ngoài
các sửa lỗi của Microsoft Office và các bản vá sống còn
khác, các bản tin còn lại -- MS15-100,
MS15-101,
MS15-102,
MS15-104
và MS15-105
-- giải quyết các chỗ bị tổn thương trong Windows Media
Center, .NET, Windows Task Manager, Skype for Business và Hyper-V.
Tác động khai thác tiềm năng của từng lỗi đó bao gồm
thực thi mã từ ở xa, leo thang quyền ưu tiên, lộ thông
tin và bỏ qua an toàn. Nhưng tất cả chúng được xếp
hạng là quan trọng, ngụ ý chúng chỉ có thể bị lạm
dụng nếu kẻ tấn công là có rồi trên máy tính.
Craig
Young, computer security researcher with Tripwire Inc.'s
Vulnerability and Exposures Research Team, based in Portland, Ore.,
said this bulletin should serve as a warning about upgrading systems.
"[This
vulnerability] would have no security impact [on] Windows 7 or later
systems," Young said. "Although Microsoft does not provide
a technical reason for this, it seems likely that general security
hardening in the newer platforms blocked this attack vector before it
was even known, giving yet another reason for administrators to not
only stay up to date with patches, but also to maintain a
current-generation operating system."
MS15-099
is another bulletin for an RCE vulnerability that affects all
supported versions of Microsoft Office. The most critical flaw in
this bulletin is for a vulnerability that could be exploited if a
user is convinced to open a malformed EPS image file. Microsoft said
most vectors for exploit require a user to open a specially crafted
file, but Wolfgang Kandek, CTO at Qualys Inc., based in Redwood City,
Calif., said that can be done easily.
"Attackers
would typically trick users into opening these files by disguising
them as something harmless and interesting," Kandek noted, "say,
a resume for an open position listed on your site, an article about a
subject that is interesting to you, or an offer for a free membership
or other benefits to some of your users."
Young
agreed that the ease of delivery for an exploit of this vulnerability
means organizations should make it a point to educate users about
these risks.
"In
general, MS15-099 should serve as a reminder to users not to use
caution when opening documents received via email or downloaded from
the Web," Young said. "The file formats processed by
Microsoft Office tools and similar programs are so complex that there
is, quite literally, a never-ending stack of vulnerabilities. New
issues are always being disclosed and fixed, but it is likely that
this is just the tip of a very large iceberg, with perhaps far more
vulnerabilities being quietly exploited without public disclosure."
As
is expected in each Patch
Tuesday release, there is a bulletin for the various fixes
released for Internet Explorer (MS15-094),
but now, there is also a bulletin for the new Microsoft
Edge browser (MS15-095)
for those using Windows 10. The critical vulnerabilities in Edge are
also included in the IE patches, and all vulnerabilities are rated as
critical RCE flaws on supported Windows clients. However, those same
vulnerabilities in IE are only rated as moderate on Windows Server,
because IE runs in an Enhanced Security Configuration restricted mode
by default, which mitigates some risk.
The
final critical bulletin (MS15-096)
covers a Windows Journal flaw that could allow for remote code
execution if a user were to open a specially crafted Journal file.
The flaw affects all supported versions of Windows, but experts noted
that Journal is not used by many, so this bulletin is only a high
priority for organizations using Windows Journal.
Experts
noted two bulletins labeled as important should be kept in mind for
enterprises running Active Directory (MS15-096)
or Outlook Web Access features of Exchange server (MS15-103).
The Active Directory flaw could allow denial of service if an
authenticated attacker creates multiple machine accounts, but
Microsoft said an attacker must have an account that has privileges
to join machines to the domain in order to exploit this
vulnerability. The Exchange Server vulnerability could allow
information disclosure if Outlook Web Access fails to properly handle
Web requests, as well as sanitize user input and email content.
Besides
the Microsoft Office fixes and other critical patches, the remaining
bulletins -- MS15-100,
MS15-101,
MS15-102,
MS15-104
and MS15-105
-- address vulnerabilities in Windows Media Center, .NET, Windows
Task Manager, Skype for Business and Hyper-V. The potential exploit
impact of each includes remote code execution, elevation of
privilege, information disclosure and security bypass. But all are
rated important, meaning they can only be abused if the attacker is
already on the machine.
Dịch: Lê Trung
Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.