Microsoft phát hành 13 bản tin an toàn cho Bản và ngày thứ Ba tháng 2/2016, xếp hạng sống còn 6

Microsoft released 13 security bulletins for February Patch Tuesday, 6 rated critical

By Ms. Smith, Network World | Feb 9, 2016 11:43 AM PT

Theo: http://www.networkworld.com/article/3031653/security/microsoft-released-13-security-bulletins-for-feb-patch-tuesday-6-rated-critical.html

Bài được đưa lên Internet ngày: 09/02/2016

Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.

Trong Bản vá ngày thứ Ba tháng 02/2016, Microsoft đã phát hành 13 bản tin về an toàn, 6 trong số đó được xếp hạng là sống còn vì sự thực thi mã ở xa. Phần còn lại được sửa lỗi về leo thang quyền ưu tiên, từ chối dịch vụ, và tính năng bỏ qua chỗ bị tổn thương.

Được xếp hạng sống còn

MS16-022 giải quyết 23 lỗi trong Adobe Flash Player bằng việc cập nhật các thư viện Flash trong Internet Explorer 10, Internet Explorer 11, và Microsoft Edge. Bán vá này là cho tất cả các phiên bản của Windows. Nó được xếp hạng ở đầu danh sách vá, theo Qualys CTO Wolfgang Kandek, người đã gọi bản vá này là một “sự thay đổi đóng gói” vì “có một thiết kế cho nó”, ngược lại với sự cố vấn về an toàn.

MS16-009 là sửa lỗi tích cóp hàng tháng cho Internet Explorer, vá 13 chỗ bị tổn thương, bao gồm cả thực thi mã ở xa. Microsoft có ý định không vá bất kỳ phiên bản nào cũ hơn IE 11, nên nếu bạn sử dụng trình duyệt cũ IE thì tới lúc phải chuyển khỏi vật trung gian bị tấn công đó rồi.

MS16-011 là để vá 6 chỗ bị tổn thương trong Microsoft Edge; chỗ nghiệm trọng nhất có thể cho phép RCE nếu người sử dụng duyệt một trang web độc hại bị giả mạo.

MS16-012 làm việc với các lỗi trong Thư viện PDF của Microsoft Windows, nghiệm trọng nhất có thể cho phép RCE. Bản cập nhật an toàn được xếp hạng sống còn cho tất cả các phiên bản Windows đi với trình đọc PDF: Windows 8.1, Windows 10, Windows Server 2012 và Server 2012 R2. Kandek đã lưu ý rằng đây là bản vá đầu tiên cho trình đọc PDF của Microsoft.

Bobby Kuzma của Core Security nói, “MS16-012 có lẽ là thú vị nhất trong đống này, nếu chỉ vì nó làm tươi mới lại để thấy ai đó bên cạnh Adobe có chỗ bị tổn thương mã ở xa trong PDF”.

MS16-013 và một chỗ bị tổn thương RCE trong Windows Journal. Để một kẻ tấn công khai thác thành công lỗi hỏng bộ nhớ này, thì người sử dụng có thể cần phải mở tệp Journal độc hại bị làm giả như thông qua thư điện tử.

MS16-015 sửa các lỗ hổng trong Microsoft Office. Vì thế, nó sẽ đóng lại các lỗi hàng đầu trong danh sách triển khai ưu tiên của bạn. Kandek đã xếp hạng nó là quan trọng thứ 2 vì nó giải quyết 7 lỗi trong Word, Excel và SharePoint.

Được xếp hạng quan trọng

Dù không được xếp hạng như là sống còn, thì MS16-014 giải quyết các lỗi RCE và khác trong Windows; nếu một kẻ tấn công từng khai thác lỗ hổng trầm trọng nhất, thì anh/chị ta kéo ra khỏi sự thực thi mã ở xa. Bản cập nhật an toàn cũng giải quyết các lỗi có thể cho phép leo thang quyền ưu tiên, từ chối dịch vụ, và bỏ qua tính năng an toàn.

Về MS16-014, Jon Rudolph, kỹ sư trưởng phần mềm ở Core Security, đã lưu ý rằng dù nó được phân loại như là chỗ bị tổn thương thực thi mã ở xa, nhưng nó “mang nhiều nét tương đồng với chỗ bị tổn thương leo thang quyền ưu tiến khi nó yêu cầu người sử dụng đăng nhập vào để tải các thư viện được chia sẻ lên trước khi được xác thực”.

MS16-016 giải quyết một lỗ thủng trong Windows bằng việc sửa cách mà WebDAV thẩm định bộ nhớ. Microsoft viết, “chỗ bị tổn thương này có thể cho phép sự leo thang quyền ưu tiên nếu một kẻ tấn công sử dụng trình máy trạm của Microsoft Web Distributed Authoring và Versioning (WebDAV) để gửi đầu vào bị làm giả đặc biệt tới máy chủ”.

MS16-017 và trình điều khiển màn hình máy để bàn ở xa. Lỗi này có thể cho phép leo thang quyền ưu tiên nếu một kẻ tấn công đăng nhập vào hệ thống đích qua RDP và gửi dữ liệu độc hại được làm giả. Nếu bạn không có RDP bật, thì Microsoft nói bạn không gặp rủi ro.

Kuzma nói thêm, “MS16-017 là thú vị cho tiềm năng của nó để mở rộng dấu vết đối với những kẻ tấn công mà đã bám được đầu ngón chân trong một môi trường, như là sau khi phân phối tải phishing thành công. Trong khi các hệ thống mà không có RDP được bất sẽ không bị tổn thương, hãy chân thành.... hầu hết mọi máy chủ đang có RDP bật ít nhất vì các mục đích quản lý mạng”.

MS16-018 giải quyết một chỗ bị tổn thương trong các trình điều khiển chế độ nhân của Windows mà một kẻ tấn công có thể khai thác để leo thang quyền ưu tiên. MS16-018 làm Kuzma lo ngại “một chút. Đây là chỗ bị tổn thương leo thang quyền ưu tiên cục bộ, nên nó đòi hỏi người sử dụng chạy một chương trình bị làm giả đặc biệt. Những gì làm tôi lo ngại là nó có các hệ thống bị tổn thương ngược lại về Windows Vista, nên có khả năng CAO ĐỘ là Windows XP đáng kính cũng bị tổn thương”.

MS16-019 sửa các chỗ bị tổn thương trong Microsoft .NET Framework. Lỗi nghiêm trọng nhất, theo Microsoft , “có thể gây ra sự từ chối dịch vụ nếu kẻ tấn công chèn XSLT bị làm giả đặc biệt vào một phần web ở phía XML, làm cho máy chủ biên dịch lặp các biến đổi XSLT”.

MS16-020 vá một chỗ bị tổn thương từ chối dịch vụ khác nhưng trong các Dịch vụ Liên đoàn của Active Directory lần này.

MS16-021 sửa lỗi Windows mà có thể “gây ra từ chối dịch vụ trong Network Policy Server nếu kẻ tấn công gửi đi một cuỗi tên người sử dụng bị làm giả đặc biệt cho NPS, điều có thể ngăn chặn xác thực RADIUS trong NPS”.

“Tất tần tật, là tháng bình thường về khía cạnh số lượng các bản vá, nhưng một trung gian tấn công của các tệp bị đầu độc là một chiến địa tích cựa hiện giờ, với các vấn đề đang được phát hiện và sửa trên cơ sở ngay lập tức”, Rudolph của Core Security đã tóm tắt lại.

Nếu bạn sử dụng Java và không làm thế, thì bạn có thể lấy phiên bản Java mới nhất của Oracle 6,7 hoặc 8, như một cảnh báo an toàn đã được đưa ra hôm qua cho chỗ bị tổn thương trong trình cài đặt. Oracle viết, “Dù khá phức tạp để khai thác, chỗ bị tổn thương này có thể gây ra, nếu được/bị khai thác thành công, một chỗ bị tổn thương hoàn chỉnh trong hệ thống không bị nghi ngờ của người sử dụng”.

Chúc vá víu vui vẻ nhé!

On February 2016 Patch Tuesday, Microsoft released 13 security bulletins, six of which are rated as critical for remote code execution. The rest deal with fixing elevation of privilege, denial of service, and security feature bypass vulnerabilities.

Rated critical

MS16-022 resolves 23 flaws in Adobe Flash Player by updating Flash libraries in Internet Explorer 10, Internet Explorer 11, and Microsoft Edge. This patch is meant for all supported editions of Windows. It was ranked at the top of the list for patching, according to Qualys CTO Wolfgang Kandek, who called the patch a “packaging change” since “there is a real bulletin for it,” as opposed to a security advisory.

MS16-009 is the monthly cumulative security fix for Internet Explorer, patching 13 vulnerabilities including remote code execution. Microsoft intends not to patch any version older than IE 11, so if you use a legacy IE browser then it’s time to move on from that attack vector.

MS16-011 is to patch six vulnerabilities in Microsoft Edge; the most severe could allow RCE if a user browses a maliciously crafted webpage.

MS16-012 deals with bugs in Microsoft Windows PDF Library, the most severe of which could allow RCE. The security update is rated critical for all versions of Windows that come with PDF Reader: Windows 8.1, Windows 10, Windows Server 2012 and Server 2012 R2. Kandek noted that this is the first patch for Microsoft’s PDF Reader.

Core Security’s Bobby Kuzma said, “MS16-012 is probably the most interesting of the bunch, if only because it’s refreshing to see someone besides Adobe having a remote code vulnerability in PDF.”

MS16-013 patches an RCE vulnerability in Windows Journal. For an attacker to successfully exploit this memory corruption bug, a user would need to open a maliciously crafted Journal file such as via email.

MS16-015 closes holes in Microsoft Office. Therefore, it should be close to the top of your deployment list priority. Kandek ranked it as second most important as it resolves seven flaws in Word, Excel, and SharePoint.

Rated important

Although not rated as critical, MS16-014 resolves RCE and other flaws in Windows; if an attacker were to exploit the most severe hole, then he or she could pull off remote code execution. The security update also addresses bugs that could allow elevation of privilege, denial of service, and security feature bypass.

Regarding MS16-014, Jon Rudolph, principal software engineer at Core Security, noted that although it is categorized as a remote code execution vulnerability, it “bears a lot of resemblance to an escalation of privilege vulnerability as it requires the user to login in order to load shared libraries before being authenticated.”

MS16-016 resolves a hole in Windows by correcting how WebDAV validates memory. Microsoft wrote, “The vulnerability could allow elevation of privilege if an attacker uses the Microsoft Web Distributed Authoring and Versioning (WebDAV) client to send specifically crafted input to a server.”

MS16-017 patches Windows remote desktop display driver. The flaw could allow elevation of privilege if an attacker logs into the target system via RDP and sends maliciously crafted data. If you don’t have RDP enabled, then Microsoft says you are not at risk.

Kuzma added, “MS16-017 is interesting for its potential to expand footprints for attackers who already have a toehold in an environment, such as after a success phishing payload delivery. While systems that do not have RDP enabled are not vulnerable, let’s be honest…almost every server is going to have RDP enabled for at least network management purposes.”

MS16-018 addresses a vulnerability in Windows kernel-mode drivers that an attacker could exploit for elevation of privilege. MS16-018 worries Kuzma “a bit. It’s a local privilege escalation vulnerability, so it requires the user running a specially crafted program. What worries me here is that it’s got vulnerable systems all the way back to Windows Vista, so it’s HIGHLY likely that the venerable XP is also vulnerable.”

MS16-019 fixes vulnerabilities in Microsoft .NET Framework. The most severe flaw, according to Microsoft, “could cause denial of service if an attacker inserts specially crafted XSLT into a client-side XML web part, causing the server to recursively compile XSLT transforms.”

MS16-020 patches another denial of service vulnerability but in Active Directory Federation Services this time.

MS16-021 squashes a Windows bug that could “cause denial of service on a Network Policy Server if an attacker sends specially crafted username strings to the NPS, which could prevent RADIUS authentication on the NPS.”

“All in all, it's a normal month in terms of number of patches, but an attack vector of poisoned files is an active battleground right now, with issues being discovered and fixed on a constant basis,” summed up Core Security’s Rudolph.

If you use Java and haven’t done so, then you might grab Oracle’s newest version of Java 6, 7 or 8, as a security alert was issued yesterday for a vulnerability in the installer. Oracle wrote, “Though relatively complex to exploit, this vulnerability may result, if successfully exploited, in a complete compromise of the unsuspecting user’s system.”

Happy patching!

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com