Bản vá ngày thứ Ba: Microsoft đã đưa ra 9 bản cập nhật an toàn, 6 được xếp hạng sống còn, 7 cho RCE

Patch Tuesday: Microsoft released 9 security updates, 6 rated critical, 7 for RCE

By Ms. Smith, Network World | Jan 12, 2016 11:40 AM PT

Theo: http://www.networkworld.com/article/3021751/security/patch-tuesday-microsoft-released-9-security-updates-6-rated-critical-7-for-rce.html

Bài được đưa lên Internet ngày: 12/01/2016

Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014;

Microsoft đã khởi động Bản vá ngày thứ Ba đầu tiên của năm 2016 bằng việc tung ra 9 bản cập nhật an toàn, 6 trong số đó được xếp hạng sống còn và 7 là các sửa lỗi thực thi mã từ ở xa.

Để bắt đầu Bản vá ngày thứ Ba năm 2016, Microsoft đã đưa ra 9 bản tin, 6 trong số đó được xếp hạng sống còn và 7 giải quyết các chỗ bị tổn thương thực thi mã từ ở xa.

Trong khi nhiều RCE không tạo nên bất kỳ kỷ lục nào, thì Bobby Kuzma, CISSP, kỹ sư các hệ thống tại Core Security, nói, “Nó vẫn làm cho tôi buồn. Các trình duyệt web là không an toàn, và mọi người nên sử dụng vài dạng lọc nội dung trên các mạng của họ. Điều này giống như đang mang dây khóa vào ghế khi ngồi. Hãy chỉ làm thế”.

Các bản cập nhật được xếp hạng sống còn

Đầu tiên là MS16-001, sửa lỗi tích lũy đối với các lỗi trong Internet Explorer mà một kẻ tấn công có thể khai thác để có sự thực thi mã từ ở xa và có các quyền y hệt như người sử dụng. Bản vá ngụ ý phải sửa cách mà VBScript điều khiển các đối tượng trong bộ nhớ và giúp đảm bảo rằng các chính sách liên miền được/bị ép tuân thủ đúng trong Internet Explorer.

Microsoft nói, từ đây trở đi, “Chỉ phiên bản hiện hành nhất của Internet Explorer sẵn sàng cho hệ điều hành được hỗ trợ sẽ nhận được sự hỗ trợ kỹ thuật và các bản cập nhật về an toàn”. Đây là bản vá cuối cùng cho IE 8, IE 9 và IE 10.

MS16-002 một lần nữa giải quyết nhiều chỗ bị tổn thương có thể cho phép RCE, nhưng lần này bản cập nhật an toàn tích dồn là sửa lỗi hàng tháng cho Microsoft Edge.

MS16-003 đưa ra bản cập nhật về an toàn được tích dồn cho cho JScript và VBScript; Microsoft đã lưu ý rằng chỗ bị tổn thương đó trong VBScript có thể bị khai thác để cho phép thực thi mã từ ở xa.

MS16-004 là để giải quyết 6 lỗ hổng trong Microsoft Office mà có thể cho phép RCE. Theo Microsoft, các chỗ bị tổn thương đó được giải quyết “bằng việc sửa cách mà Microsoft Office điều khiaản các đối tượng trong bộ nhớ, bằng việc đảm bảo rằng Microsoft SharePoint ép đúng việc thiết lập cấu hình ACP, và bằng việc giúp đảm bảo rằng Microsoft Office triển khai đúng tính năng an toàn ASLR [Address Space Layout Randomization]”.

Một trong các chỗ bị tổn thương hỏng bộ nhớ cũng như một trong những lỗi bỏ qua tính năng an toàn của SharePoint từng được đưa ra công khai. Đừng chậm trễ triển khai bản vá này như một trong các lỗi, CVE-2016-0010, áp dụng cho Office 2007 tới 2016 trong Windows, RT và thậm chí Mac.

MS16-005 là nơi bắt đầu nếu bạn chạy Vista, Windows 7 hoặc Server 2008, theo CTO Wolfgang Kandek của Qualys, nếu không hãy bắt đầu với MS16-004. MS16-005 giải quyết các chỗ bị tổn thương trong các trình điều khiển chế độ nhân Windows, với lỗi nghiêm trọng nhất cho phép RCE nếu người sử dụng viếng thăm một website độc hại. Trong khi Microsoft nói hãng còn chưa thấy các cuộc tấn công có ý định khai thác sự bỏ qua tính năng an toàn ASLR của Windows GDI32.dll, thì chỗ bị tổn thương của Uwin32k RCE đã được công khai. Trong Windows 8 và 10, Microsoft xếp bản vá đó hoặc không áp dụng được hoặc là quan trọng.

MS16-006 giải quyết lỗi trong Silverlight mà có thể cho phép RCE nếu người sử dụng viếng thăm một site bị tổn thương có chứa ứng dụng Silverlight được làm giả có độc hại, Jon Rudolph, kỹ sư phần mềm chính ở Core Security, nói, “Vì Silverlight đã bị mất thị phần đều đều trong năm ngoái, điều này có thể là câu hỏi về việc đánh giá các nhu cầu của riêng bạn, và hạn chế những gì bạn có thể”

Được xếp hạng quan trọng

Dù chỉ được Microsoft xếp hạng quan trọng, MS16-007 giải quyết các chỗ bị tổn thương trong Windows mà cho phép thực thi mã từ ở xa. Bản cập nhật an toàn này sửa cách mà Windows thẩm tra đầu vào trước khi tải các tệp DLL cũng như sửa cách mà DirectShow thậm định đầu vào của người sử dụng. Cuối cùng, nó ép thiết lập mặc định không cho phép đăng nhập từ xa đối với các tài khoản không có mật khẩu.

MS16-008 là sửa lỗi khác trong nhân Windows, nhưng lần này nó có thể cho phép leo thang quyền ưu tiên.

MS16-009 là thiếu trong danh sách khi Microsoft được cho là đã quyết định giữ lại bản vá đó vì một vài lý do. Kandek đã gợi ý nó đã có khả năng bị chậm vì kiểm thử tiếp.

Đừng đánh giá thấp MS16-010, sửa lỗi cuối cùng của Microsoft cho 4 chỗ bị tổn thương trong Microsoft Exchange Server mà có thể cho phép lừa gạt, như Kuzma nói đây là lỗi ông đang theo dõi. Ông bổ sung thêm, “Nó chỉ được xếp hạng quan trọng, nhưng tôi biết những người sử dụng và hành vi của họ, và ý thức về con nhện của tôi là có cảm giác từ các khả năng”.

Rudolph đã thêm rằng các lỗi liên quan tới giả mạo thư điện tử Exchange tạo ra “cái đích đặc biệt hấp dẫn vì 2 lý do lớn, mọi người có thể giả thiết các nhận diện mà không phải của họ và họ có thể gửi cho bạn các tải độc hại mà bạn không nên thực thi. Nếu doanh nghiệp của bạn sử dụng Exchange, hãy đọc điều này. Khi chúng tôi cảnh báo vào đầu năm mới và thực hiện các mục tiêu và giải pháp của chúng tôi, hãy nhớ là những kẻ tấn công cũng đang tạo ra các giải pháp của riêng họ, nên hãy vá một cách thông minh hơn, chứ không phải là cật lực hơn”.

Bạn cũng may mắn, trong khi bạn ở đó thì bạn cũng có thể nắm bắt sửa lỗi của Adobe cho Acrobat và Reader. Adobe cũng đã đưa ra bản vá khẩn cấp ngoài dự kiến cho Flash Player vào cuối tháng 12, nên nếu bạn còn chưa triển khai APSB16-01 thì đừng chậm trễ khi một trong các lỗi đang trôi nổi và đang được khai thác tích cực và hoang dã.

Chúc bạn hạnh phúc khi vá!

Microsoft kicked off the first Patch Tuesday of 2016 by releasing 9 security updates, 6 of which are rated critical and 7 are fixes for remote code execution flaws.

To start off 2016 Patch Tuesdays, Microsoft released nine security bulletins, six of which are rated as critical and seven resolve remote code execution vulnerabilities.

While that many RCEs don’t set any records, Bobby Kuzma, CISSP, systems engineer at Core Security, said, “It still distresses me. Web browsers are not safe, and everyone should be using some kind of content filtering on their networks. It's like wearing a seat belt. Just do it.”

Rated critical

First up is MS16-001, the cumulative fix for flaws in Internet Explorer which an attacker could exploit to gain remote code execution and have the same rights as the user. The patch is meant to modify how VBScript handles objects in memory and to help ensure that cross-domain policies are properly enforced in Internet Explorer.

Microsoft said, from here on out, “Only the most current version of Internet Explorer available for a supported operating system will receive technical support and security updates.” This is the last patch for IE 8, IE 9 and IE 10.

MS16-002 again resolves multiple vulnerabilities that could allow RCE, but this time the cumulative security update is the monthly fix for Microsoft Edge.

MS16-003 provides a cumulative security update for JScript and VBScript; Microsoft noted that the vulnerability in VBScript could be exploited to allow remote code execution.

MS16-004 is to resolve six holes in Microsoft Office that could allow RCE. According to Microsoft, the vulnerabilities are addressed by “correcting how Microsoft Office handles objects in memory, by ensuring that Microsoft SharePoint correctly enforces ACP configuration settings, and by helping to ensure that Microsoft Office properly implements the [Address Space Layout Randomization] ASLR security feature.”

One of the memory corruption vulnerabilities as well as one of the SharePoint security feature bypass bugs have been publicly disclosed. Don’t delay deploying this patch as one of the flaws, CVE-2016-0010, applies to Office 2007 to 2016 on Windows, RT and even Mac.

MS16-005 is where to start if you run Vista, Windows 7 or Server 2008, according to Qualys CTO Wolfgang Kandek, otherwise start with MS16-004. MS16-005 addresses vulnerabilities in Windows kernel-mode drivers, with the most severe allowing for RCE if a user visits a malicious website. While Microsoft said it is unware of attacks attempting to exploit the Windows GDI32.dll ASLR security feature bypass, the Win32k RCE vulnerability has been publicly disclosed. On Windows 8 and 10, Microsoft rates the patch as either not applicable or important.

MS16-006 resolves a flaw in Silverlight that could allow for RCE if a user visits a compromised site that contains a maliciously crafted Silverlight app. Jon Rudolph, principal software engineer at Core Security, said, “As Silverlight has been steadily losing market share in the last year, this may be a question of evaluating your own needs, and restricting what you can.”

Rated important

Although only rated as important by Microsoft, MS16-007 resolves vulnerabilities in Windows that allow for remote code execution. The security update corrects how Windows validates input before loading DLL files as well as corrects how DirectShow validates user input. Lastly, it enforces the default setting of not allowing remote logon for accounts without passwords.

MS16-008 is another fix for flaws in Windows kernel, but this time it could allow elevation of privilege.

MS16-009 is missing from the list as Microsoft presumably decided to hold back the patch for some reason. Kandek suggested it was likely delayed due to further testing.

Don’t discount MS16-010, Microsoft’s latest fix for four vulnerabilities in Microsoft Exchange Server which could allow spoofing, as Kuzma said it’s the one he’s keeping his eye on. He added, “It’s only rated as important, but I know users and their [mis]behavior, and my spider senses are tingling from the possibilities.”

Rudolph added that bugs that relate to Exchange email spoofing make “for an especially juicy target for two big reasons, people can assume identities that aren't theirs and they can send you malicious payloads that you shouldn't be executing. If your business uses Exchange, read up on this one. As we ring in the new year and make our goals and resolutions, remember that attackers are making their own resolutions, so patch smarter, not harder.”

Lucky you, while you are at it you might as well grab Adobe’s fix for Acrobat and Reader. Adobe also released an out-of-band emergency patch for Flash Player at the end of December, so if you haven’t deployed APSB16-01 then don’t delay as one of the flaws is floating around and actively being exploited in the wild.

Happy patching!

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com