Microsoft
released 13 security bulletins for February Patch Tuesday, 6 rated
critical
By
Ms. Smith, Network World | Feb 9, 2016 11:43 AM PT
Bài
được đưa lên Internet ngày: 09/02/2016
Trong
Bản vá ngày thứ Ba tháng 02/2016, Microsoft đã phát hành
13
bản tin về an toàn, 6 trong số đó
được xếp hạng là sống còn vì sự thực thi mã ở xa.
Phần còn lại được sửa lỗi về leo thang quyền ưu
tiên, từ chối dịch vụ, và tính năng bỏ qua chỗ bị
tổn thương.
Được
xếp hạng sống còn
MS16-022
giải quyết 23 lỗi trong Adobe Flash Player bằng việc cập
nhật các thư viện Flash trong Internet Explorer 10, Internet
Explorer 11, và Microsoft Edge. Bán vá này là cho tất cả các
phiên bản của Windows. Nó được xếp hạng ở đầu danh
sách vá, theo Qualys
CTO Wolfgang Kandek, người đã gọi bản vá này là một
“sự thay đổi đóng gói” vì “có một thiết kế cho
nó”, ngược lại với sự cố vấn về an toàn.
MS16-009
là sửa lỗi tích cóp hàng tháng cho Internet Explorer, vá 13
chỗ bị tổn thương, bao gồm cả thực thi mã ở xa.
Microsoft có ý định không
vá bất kỳ phiên bản nào cũ hơn IE 11, nên nếu bạn
sử dụng trình duyệt cũ IE thì tới lúc phải chuyển
khỏi vật trung gian bị tấn công đó rồi.
MS16-011
là để vá 6 chỗ bị tổn thương trong Microsoft Edge; chỗ
nghiệm trọng nhất có thể cho phép RCE nếu người sử
dụng duyệt một trang web độc hại bị giả mạo.
MS16-012
làm việc với các lỗi trong Thư viện PDF của Microsoft
Windows, nghiệm trọng nhất có thể cho phép RCE. Bản cập
nhật an toàn được xếp hạng sống còn cho tất cả các
phiên bản Windows đi với trình đọc PDF: Windows 8.1,
Windows 10, Windows Server 2012 và Server 2012 R2. Kandek đã lưu
ý rằng đây là bản vá đầu tiên cho trình đọc PDF của
Microsoft.
Bobby
Kuzma của Core
Security nói, “MS16-012 có lẽ là thú vị nhất trong
đống này, nếu chỉ vì nó làm tươi mới lại để thấy
ai đó bên cạnh Adobe có chỗ bị tổn thương mã ở xa
trong PDF”.
MS16-013
và một chỗ bị tổn thương RCE trong Windows Journal. Để
một kẻ tấn công khai thác thành công lỗi hỏng bộ nhớ
này, thì người sử dụng có thể cần phải mở tệp
Journal độc hại bị làm giả như thông qua thư điện tử.
MS16-015
sửa các lỗ hổng trong Microsoft Office. Vì thế, nó sẽ
đóng lại các lỗi hàng đầu trong danh sách triển khai ưu
tiên của bạn. Kandek đã xếp hạng nó là quan trọng thứ
2 vì nó giải quyết 7 lỗi trong Word, Excel và SharePoint.
Được
xếp hạng quan trọng
Dù
không được xếp hạng như là sống còn, thì MS16-014
giải quyết các lỗi RCE và khác trong Windows; nếu một kẻ
tấn công từng khai thác lỗ hổng trầm trọng nhất, thì
anh/chị ta kéo ra khỏi sự thực thi mã ở xa. Bản cập
nhật an toàn cũng giải quyết các lỗi có thể cho phép
leo thang quyền ưu tiên, từ chối dịch vụ, và bỏ qua
tính năng an toàn.
Về
MS16-014, Jon Rudolph, kỹ sư trưởng phần mềm ở Core
Security, đã lưu ý rằng dù nó được phân loại như
là chỗ bị tổn thương thực thi mã ở xa, nhưng nó “mang
nhiều nét tương đồng với chỗ bị tổn thương leo
thang quyền ưu tiến khi nó yêu cầu người sử dụng đăng
nhập vào để tải các thư viện được chia sẻ lên
trước khi được xác thực”.
MS16-016
giải quyết một lỗ thủng trong Windows bằng việc sửa
cách mà WebDAV thẩm định bộ nhớ. Microsoft viết, “chỗ
bị tổn thương này có thể cho phép sự leo thang quyền
ưu tiên nếu một kẻ tấn công sử dụng trình máy trạm
của Microsoft Web Distributed Authoring và Versioning (WebDAV) để
gửi đầu vào bị làm giả đặc biệt tới máy chủ”.
MS16-017
và trình điều khiển màn hình máy để bàn ở xa. Lỗi
này có thể cho phép leo thang quyền ưu tiên nếu một kẻ
tấn công đăng nhập vào hệ thống đích qua RDP và gửi
dữ liệu độc hại được làm giả. Nếu bạn không có
RDP bật, thì Microsoft nói bạn không gặp rủi ro.
Kuzma
nói thêm, “MS16-017 là thú vị cho tiềm năng của nó để
mở rộng dấu vết đối với những kẻ tấn công mà đã
bám được đầu ngón chân trong một môi trường, như là
sau khi phân phối tải phishing thành công. Trong khi các hệ
thống mà không có RDP được bất sẽ không bị tổn
thương, hãy chân thành.... hầu hết mọi máy chủ đang có
RDP bật ít nhất vì các mục đích quản lý mạng”.
MS16-018
giải quyết một chỗ bị tổn thương trong các trình điều
khiển chế độ nhân của Windows mà một kẻ tấn công có
thể khai thác để leo thang quyền ưu tiên. MS16-018 làm
Kuzma lo ngại “một chút. Đây là chỗ bị tổn thương
leo thang quyền ưu tiên cục bộ, nên nó đòi hỏi người
sử dụng chạy một chương trình bị làm giả đặc biệt.
Những gì làm tôi lo ngại là nó có các hệ thống bị
tổn thương ngược lại về Windows Vista, nên có khả năng
CAO ĐỘ là Windows XP đáng kính cũng bị tổn thương”.
MS16-019
sửa các chỗ bị tổn thương trong Microsoft .NET Framework.
Lỗi nghiêm trọng nhất, theo Microsoft , “có thể gây ra
sự từ chối dịch vụ nếu kẻ tấn công chèn XSLT bị
làm giả đặc biệt vào một phần web ở phía XML, làm
cho máy chủ biên dịch lặp các biến đổi XSLT”.
MS16-020
vá một chỗ bị tổn thương từ chối dịch vụ khác
nhưng trong các Dịch vụ Liên đoàn của Active Directory lần
này.
MS16-021
sửa lỗi Windows mà có thể “gây ra từ chối dịch vụ
trong Network Policy Server nếu kẻ tấn công gửi đi một
cuỗi tên người sử dụng bị làm giả đặc biệt cho
NPS, điều có thể ngăn chặn xác thực RADIUS trong NPS”.
“Tất
tần tật, là tháng bình thường về khía cạnh số lượng
các bản vá, nhưng một trung gian tấn công của các tệp
bị đầu độc là một chiến địa tích cựa hiện giờ,
với các vấn đề đang được phát hiện và sửa trên cơ
sở ngay lập tức”, Rudolph của Core Security đã tóm tắt
lại.
Nếu
bạn sử dụng Java và không làm thế, thì bạn có thể
lấy phiên bản Java mới nhất của Oracle 6,7 hoặc 8, như
một cảnh
báo an toàn đã được đưa ra hôm qua cho chỗ bị tổn
thương trong trình cài đặt. Oracle viết, “Dù khá phức
tạp để khai thác, chỗ bị tổn thương này có thể gây
ra, nếu được/bị khai thác thành công, một chỗ bị tổn
thương hoàn chỉnh trong hệ thống không bị nghi ngờ của
người sử dụng”.
Chúc
vá víu vui vẻ nhé!
On
February 2016 Patch Tuesday, Microsoft released 13
security bulletins, six of which are rated as critical for remote
code execution. The rest deal with fixing elevation of privilege,
denial of service, and security feature bypass vulnerabilities.
Rated
critical
MS16-022
resolves 23 flaws in Adobe Flash Player by updating Flash libraries
in Internet Explorer 10, Internet Explorer 11, and Microsoft Edge.
This patch is meant for all supported editions of Windows. It was
ranked at the top of the list for patching, according to Qualys
CTO Wolfgang Kandek,
who called the patch a “packaging change” since “there is a
real bulletin for it,” as opposed to a security advisory.
MS16-009
is the monthly cumulative security fix for Internet Explorer,
patching 13 vulnerabilities including remote code execution.
Microsoft intends not
to patch any version older than IE 11, so if you use a legacy IE
browser then it’s time to move on from that attack vector.
MS16-011
is to patch six vulnerabilities in Microsoft Edge; the most severe
could allow RCE if a user browses a maliciously crafted webpage.
MS16-012
deals with bugs in Microsoft Windows PDF Library, the most severe of
which could allow RCE. The security update is rated critical for all
versions of Windows that come with PDF Reader: Windows 8.1, Windows
10, Windows Server 2012 and Server 2012 R2. Kandek noted that this is
the first patch for Microsoft’s PDF Reader.
Core
Security’s Bobby Kuzma said, “MS16-012 is probably the most
interesting of the bunch, if only because it’s refreshing to see
someone besides Adobe having a remote code vulnerability in PDF.”
MS16-013
patches an RCE vulnerability in Windows Journal. For an attacker to
successfully exploit this memory corruption bug, a user would need to
open a maliciously crafted Journal file such as via email.
MS16-015
closes holes in Microsoft Office. Therefore, it should be close to
the top of your deployment list priority. Kandek ranked it as second
most important as it resolves seven flaws in Word, Excel, and
SharePoint.
Rated
important
Although
not rated as critical, MS16-014
resolves RCE and other flaws in Windows; if an attacker were to
exploit the most severe hole, then he or she could pull off remote
code execution. The security update also addresses bugs that could
allow elevation of privilege, denial of service, and security feature
bypass.
Regarding
MS16-014, Jon Rudolph, principal software engineer at Core
Security, noted that although it is categorized as a remote code
execution vulnerability, it “bears a lot of resemblance to an
escalation of privilege vulnerability as it requires the user to
login in order to load shared libraries before being authenticated.”
MS16-016
resolves a hole in Windows by correcting how WebDAV validates memory.
Microsoft wrote, “The vulnerability could allow elevation of
privilege if an attacker uses the Microsoft Web Distributed Authoring
and Versioning (WebDAV) client to send specifically crafted input to
a server.”
MS16-017
patches Windows remote desktop display driver. The flaw could allow
elevation of privilege if an attacker logs into the target system via
RDP and sends maliciously crafted data. If you don’t have RDP
enabled, then Microsoft says you are not at risk.
Kuzma
added, “MS16-017 is interesting for its potential to expand
footprints for attackers who already have a toehold in an
environment, such as after a success phishing payload delivery. While
systems that do not have RDP enabled are not vulnerable, let’s be
honest…almost every server is going to have RDP enabled for at
least network management purposes.”
MS16-018
addresses a vulnerability in Windows kernel-mode drivers that an
attacker could exploit for elevation of privilege. MS16-018 worries
Kuzma “a bit. It’s a local privilege escalation vulnerability, so
it requires the user running a specially crafted program. What
worries me here is that it’s got vulnerable systems all the way
back to Windows Vista, so it’s HIGHLY likely that the venerable XP
is also vulnerable.”
MS16-019
fixes vulnerabilities in Microsoft .NET Framework. The most severe
flaw, according to Microsoft, “could cause denial of service if an
attacker inserts specially crafted XSLT into a client-side XML web
part, causing the server to recursively compile XSLT transforms.”
MS16-020
patches another denial of service vulnerability but in Active
Directory Federation Services this time.
MS16-021
squashes a Windows bug that could “cause denial of service on a
Network Policy Server if an attacker sends specially crafted username
strings to the NPS, which could prevent RADIUS authentication on the
NPS.”
“All
in all, it's a normal month in terms of number of patches, but an
attack vector of poisoned files is an active battleground right now,
with issues being discovered and fixed on a constant basis,” summed
up Core Security’s Rudolph.
If
you use Java and haven’t done so, then you might grab Oracle’s
newest version of Java 6, 7 or 8, as a security
alert was issued yesterday for a vulnerability in the installer.
Oracle wrote, “Though relatively complex to exploit, this
vulnerability may result, if successfully exploited, in a complete
compromise of the unsuspecting user’s system.”
Happy
patching!
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.