Patch
Tuesday: Microsoft released 9 security updates, 6 rated critical, 7
for RCE
By
Ms. Smith, Network World | Jan 12, 2016 11:40 AM PT
Bài
được đưa lên Internet ngày: 12/01/2016
Microsoft
đã khởi động Bản vá ngày thứ Ba đầu tiên của năm
2016 bằng việc tung ra 9 bản cập nhật an toàn, 6 trong số
đó được xếp hạng sống còn và 7 là các sửa lỗi
thực thi mã từ ở xa.
Để
bắt đầu Bản vá ngày thứ Ba năm 2016, Microsoft đã đưa
ra 9 bản tin, 6 trong số đó được xếp hạng sống còn
và 7 giải quyết các chỗ bị tổn thương thực thi mã từ
ở xa.
Trong
khi nhiều RCE không tạo nên bất kỳ kỷ lục nào, thì
Bobby Kuzma, CISSP, kỹ sư các hệ thống tại Core
Security,
nói, “Nó vẫn làm cho tôi buồn. Các trình duyệt web là
không an toàn, và mọi người nên sử dụng vài dạng lọc
nội dung trên các mạng của họ. Điều này giống như
đang mang dây khóa vào ghế khi ngồi. Hãy chỉ làm thế”.
Các
bản cập nhật được xếp hạng sống còn
Đầu
tiên là MS16-001, sửa lỗi tích lũy đối với các lỗi
trong Internet Explorer mà một kẻ tấn công có thể khai
thác để có sự thực thi mã từ ở xa và có các quyền
y hệt như người sử dụng. Bản vá ngụ ý phải sửa
cách mà VBScript điều khiển các đối tượng trong bộ
nhớ và giúp đảm bảo rằng các chính sách liên miền
được/bị ép tuân thủ đúng trong Internet Explorer.
Microsoft
nói,
từ đây trở đi, “Chỉ phiên bản hiện hành nhất của
Internet Explorer sẵn sàng cho hệ điều hành được hỗ
trợ sẽ nhận được sự hỗ trợ kỹ thuật và các bản
cập nhật về an toàn”. Đây là bản vá cuối cùng cho
IE 8, IE 9 và IE 10.
MS16-002
một lần nữa giải quyết nhiều chỗ bị tổn thương có
thể cho phép RCE, nhưng lần này bản cập nhật an toàn
tích dồn là sửa lỗi hàng tháng cho Microsoft Edge.
MS16-003
đưa ra bản cập nhật về an toàn được tích dồn cho
cho JScript và VBScript; Microsoft đã lưu ý rằng chỗ bị
tổn thương đó trong VBScript có thể bị khai thác để
cho phép thực thi mã từ ở xa.
MS16-004
là để giải quyết 6 lỗ hổng trong Microsoft Office mà có
thể cho phép RCE. Theo Microsoft, các chỗ bị tổn thương
đó được giải quyết “bằng việc sửa cách mà
Microsoft Office điều khiaản các đối tượng trong bộ
nhớ, bằng việc đảm bảo rằng Microsoft SharePoint ép
đúng việc thiết lập cấu hình ACP, và bằng việc giúp
đảm bảo rằng Microsoft Office triển khai đúng tính năng
an toàn ASLR [Address Space Layout Randomization]”.
Một
trong các chỗ bị tổn thương hỏng bộ nhớ cũng như một
trong những lỗi bỏ qua tính năng an toàn của SharePoint
từng được đưa ra công khai. Đừng chậm trễ triển
khai bản vá này như một trong các lỗi, CVE-2016-0010, áp
dụng cho Office 2007 tới 2016 trong Windows, RT và thậm chí
Mac.
MS16-005
là nơi bắt đầu nếu bạn chạy Vista, Windows 7 hoặc
Server 2008, theo CTO
Wolfgang Kandek của Qualys, nếu không hãy bắt đầu với
MS16-004. MS16-005 giải quyết các chỗ bị tổn thương
trong các trình điều khiển chế độ nhân Windows, với
lỗi nghiêm trọng nhất cho phép RCE nếu người sử dụng
viếng thăm một website độc hại. Trong khi Microsoft nói
hãng còn chưa thấy các cuộc tấn công có ý định khai
thác sự bỏ qua tính năng an toàn ASLR của Windows
GDI32.dll, thì chỗ bị tổn thương của Uwin32k RCE đã được
công khai. Trong Windows 8 và 10, Microsoft xếp bản vá đó
hoặc không áp dụng được hoặc là quan trọng.
MS16-006
giải quyết lỗi trong Silverlight mà có thể cho phép RCE
nếu người sử dụng viếng thăm một site bị tổn thương
có chứa ứng dụng Silverlight được làm giả có độc
hại, Jon Rudolph, kỹ sư phần mềm chính ở Core Security,
nói, “Vì Silverlight đã bị mất thị phần đều đều
trong năm ngoái, điều này có thể là câu hỏi về việc
đánh giá các nhu cầu của riêng bạn, và hạn chế những
gì bạn có thể”
Được
xếp hạng quan trọng
Dù
chỉ được Microsoft xếp hạng quan trọng, MS16-007
giải quyết các chỗ bị tổn thương trong Windows mà cho
phép thực thi mã từ ở xa. Bản cập nhật an toàn này
sửa cách mà Windows thẩm tra đầu vào trước khi tải các
tệp DLL cũng như sửa cách mà DirectShow thậm định đầu
vào của người sử dụng. Cuối cùng, nó ép thiết lập
mặc định không cho phép đăng nhập từ xa đối với các
tài khoản không có mật khẩu.
MS16-008
là sửa lỗi khác trong nhân Windows, nhưng lần này nó có
thể cho phép leo thang quyền ưu tiên.
MS16-009
là thiếu trong danh sách khi Microsoft được cho là đã
quyết định giữ lại bản vá đó vì một vài lý do.
Kandek đã gợi ý nó đã có khả năng bị chậm vì kiểm
thử tiếp.
Đừng
đánh giá thấp MS16-010,
sửa lỗi cuối cùng của Microsoft cho 4 chỗ bị tổn
thương trong Microsoft Exchange Server mà có thể cho phép lừa
gạt, như Kuzma nói đây là lỗi ông đang theo dõi. Ông bổ
sung thêm, “Nó chỉ được xếp hạng quan trọng, nhưng
tôi biết những người sử dụng và hành vi của họ, và
ý thức về con nhện của tôi là có cảm giác từ các
khả năng”.
Rudolph
đã thêm rằng các lỗi liên quan tới giả mạo thư điện
tử Exchange tạo ra “cái đích đặc biệt hấp dẫn vì 2
lý do lớn, mọi người có thể giả thiết các nhận diện
mà không phải của họ và họ có thể gửi cho bạn các
tải độc hại mà bạn không nên thực thi. Nếu doanh
nghiệp của bạn sử dụng Exchange, hãy đọc điều này.
Khi chúng tôi cảnh báo vào đầu năm mới và thực hiện
các mục tiêu và giải pháp của chúng tôi, hãy nhớ là
những kẻ tấn công cũng đang tạo ra các giải pháp của
riêng họ, nên hãy vá một cách thông minh hơn, chứ không
phải là cật lực hơn”.
Bạn
cũng may mắn, trong khi bạn ở đó thì bạn cũng có thể
nắm bắt sửa
lỗi của Adobe cho Acrobat và Reader. Adobe cũng đã đưa
ra bản vá khẩn cấp ngoài dự kiến cho Flash Player vào
cuối tháng 12, nên nếu bạn còn chưa triển khai APSB16-01
thì đừng chậm trễ khi một trong các lỗi đang trôi nổi
và đang được khai thác tích cực và hoang dã.
Chúc
bạn hạnh phúc khi vá!
Microsoft
kicked off the first Patch Tuesday of 2016 by releasing 9 security
updates, 6 of which are rated critical and 7 are fixes for remote
code execution flaws.
To
start off 2016 Patch Tuesdays, Microsoft released nine security
bulletins, six of which are rated as critical and seven resolve
remote code execution vulnerabilities.
While
that many RCEs don’t set any records, Bobby Kuzma, CISSP, systems
engineer at Core
Security, said, “It still distresses me. Web browsers are not
safe, and everyone should be using some kind of content filtering on
their networks. It's like wearing a seat belt. Just do it.”
Rated
critical
First
up is MS16-001,
the cumulative fix for flaws in Internet Explorer which an attacker
could exploit to gain remote code execution and have the same rights
as the user. The patch is meant to modify how VBScript handles
objects in memory and to help ensure that cross-domain policies are
properly enforced in Internet Explorer.
Microsoft
said,
from here on out, “Only the most current version of Internet
Explorer available for a supported operating system will receive
technical support and security updates.” This is the last patch for
IE 8, IE 9 and IE 10.
MS16-002
again resolves multiple vulnerabilities that could allow RCE, but
this time the cumulative security update is the monthly fix for
Microsoft Edge.
MS16-003
provides a cumulative security update for JScript and VBScript;
Microsoft noted that the vulnerability in VBScript could be exploited
to allow remote code execution.
MS16-004
is to resolve six holes in Microsoft Office that could allow RCE.
According to Microsoft, the vulnerabilities are addressed by
“correcting how Microsoft Office handles objects in memory, by
ensuring that Microsoft SharePoint correctly enforces ACP
configuration settings, and by helping to ensure that Microsoft
Office properly implements the [Address Space Layout Randomization]
ASLR security feature.”
One
of the memory corruption vulnerabilities as well as one of the
SharePoint security feature bypass bugs have been publicly disclosed.
Don’t delay deploying this patch as one of the flaws,
CVE-2016-0010, applies to Office 2007 to 2016 on Windows, RT and even
Mac.
MS16-005
is where to start if you run Vista, Windows 7 or Server 2008,
according to Qualys
CTO Wolfgang Kandek, otherwise start with MS16-004. MS16-005
addresses vulnerabilities in Windows kernel-mode drivers, with the
most severe allowing for RCE if a user visits a malicious website.
While Microsoft said it is unware of attacks attempting to exploit
the Windows GDI32.dll ASLR security feature bypass, the Win32k RCE
vulnerability has been publicly disclosed. On Windows 8 and 10,
Microsoft rates the patch as either not applicable or important.
MS16-006
resolves a flaw in Silverlight that could allow for RCE if a user
visits a compromised site that contains a maliciously crafted
Silverlight app. Jon Rudolph, principal software engineer at Core
Security, said, “As Silverlight has been steadily losing market
share in the last year, this may be a question of evaluating your own
needs, and restricting what you can.”
Rated
important
Although
only rated as important by Microsoft, MS16-007
resolves vulnerabilities in Windows that allow for remote code
execution. The security update corrects how Windows validates input
before loading DLL files as well as corrects how DirectShow validates
user input. Lastly, it enforces the default setting of not allowing
remote logon for accounts without passwords.
MS16-008
is another fix for flaws in Windows kernel, but this time it could
allow elevation of privilege.
MS16-009
is missing from the list as Microsoft presumably decided to hold back
the patch for some reason. Kandek suggested it was likely delayed due
to further testing.
Don’t
discount MS16-010,
Microsoft’s latest fix for four vulnerabilities in Microsoft
Exchange Server which could allow spoofing, as Kuzma said it’s the
one he’s keeping his eye on. He added, “It’s only rated as
important, but I know users and their [mis]behavior, and my spider
senses are tingling from the possibilities.”
Rudolph
added that bugs that relate to Exchange email spoofing make “for an
especially juicy target for two big reasons, people can assume
identities that aren't theirs and they can send you malicious
payloads that you shouldn't be executing. If your business uses
Exchange, read up on this one. As we ring in the new year and make
our goals and resolutions, remember that attackers are making their
own resolutions, so patch smarter, not harder.”
Lucky
you, while you are at it you might as well grab Adobe’s fix
for Acrobat and Reader. Adobe also released an out-of-band
emergency patch for Flash Player at the end of December, so if you
haven’t deployed APSB16-01
then don’t delay as one of the flaws is floating around and
actively being exploited in the wild.
Happy
patching!
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.