August
2016 Patch Tuesday: Microsoft releases 9 security updates, 5 rated
critical
Credit:
Open Clips
Network
World | Aug 9, 2016 11:10 AM PT
Bài
được đưa lên Internet ngày: 09/08/2016
Đối
với tháng 8/2016, Bản vá ngày thứ Ba không quá đau đớn.
Microsoft đã phát hành 9 bản
tin về an toàn, 5 trong số đó đã
được xếp hạng sống còn vì các chỗ bị tổn thương
thực thi mã từ xa (RCE).
Vì
sao lại ít thế trong tháng này? Michael Gray, Phó Chủ tịch
của Technology ở Thrive
Networks, đã gợi ý, “Lý do là Microsoft có lẽ làm
cho mọi điều đơn giản sao cho không làm mờ đi quá đáng
phát hành bản cập nhật Lễ kỷ niệm Windows 10”.
Sống
còn
MS16-095
là sửa lỗi cộng dồn theo tháng cho Internet Explorer. Nó
giải quyết 5 chỗ bị tổn thương hỏng bộ nhớ và 4
lỗi lộ thông tin.
MS16-096
là bản vá cộng dồn theo tháng cho Microsoft Edge. Nó giải
quyết 8 lỗi, 4 trong số đó là các lỗi hỏng bộ nhớ,
một chỗ bị tổn thương Microsoft PDF RCE và 3 lỗ hổng
làm lộ thông tin.
MS16-097
là bản cập nhật an toàn để giải quyết các chỗ bị
tổn thương RCE trong thành phần đồ họa của Microsoft;
nó được xếp hạng sống còn vì tất cả các phiên bản
được hỗ trợ của Windows, Office 2007 và 2010, Skype for
Business 2016, cũng như Lync 2010 và 2013.
MS16-099
là sửa cho Office, đặc biệt 3 chỗ bị tổn thương hỏng
bộ nhớ của Office, 1 chỗ bị tổn thương hỏng bộ nhớ
của thành phần đồ họa và 1 lỗi làm lộ thông tin
trong Microsoft OneNote. Bobby Kuzma, CISSP, kỹ sư hệ thống ở
Core Security,
đã bổ sung thêm:
Bản cập nhật Office này bao gồm sự sửa lỗi bỏ qua ASLR. Trong khi các công nghệ như Address Space Layout Randomization làm cho nó khó khăn hơn cho những kẻ tấn công khai thác các điều kiện tràn bộ nhớ, chúng không phải là thuốc trị bách bệnh. Phòng thủ theo chiều sâu là trật tự của ngày nay.
Nhưng mà này, hãy nhìn vào phía tốt. Đã từng có bất kỳ chỗ bị tổn thương điều khiển phông chữ tháng này.
MS16-102
giải quyết lỗi RCE trong thư viện của Microsoft Windows
PDF. Theo kỹ sư chính về phần mềm Jon Rudolph của Core
Security:
Một vấn đề lớn phải để mắt tới trong tháng này là CVE-2016-3319 tức là “chỗ bị tổn thương thực thi mã từ xa của Microsoft PDF” vì nó là đặc biệt tệ hại nếu trình duyệt mặc định của bạn là Edge được thiết lập cấu hình để tự động chỉ ra nội dung PDF từ website. Bằng việc khai thác chỗ bị tổn thương này, một kẻ tấn công có thể làm giả các quyền các quyền y hệt như người sử dụng đã đăng nhập vào. May thay, không có sự khai thác nào từng được thấy cho tới nay. Nó chưa từng bị mở ra công khai, dù với ưu tiên định dạng PDF, nó là cược an toàn rằng điều này sẽ là có trong các bộ công cụ của kẻ tấn công trong những năm tới.
Quan
trọng
MS16-098
và các chỗ bị tổn thương leo thang quyền ưu tiên trong
các trình điều khiển chế độ nhân của Windows.
MS16-100
giải quyết lỗi bỏ qua tính năng an toàn trong Windows
Secure Boot. Nếu bị khai thác, Microsoft nói một kẻ tấn
công “có thể vô hiệu hóa các kiểm tra tính toàn vẹn
của mã, cho phép thực thi kiểm thử được chỉ định
và các trình điều khiển sẽ bị tải vào thiết bị
đích. Hơn nữa, kẻ tấn công có thể vượt qua các tính
năng an toàn của Secure Boot Integrity Validation for BitLocker
and Device Encryption”. Các danh sách đen các bản vá đã
ảnh hưởng tới các trình quản lý khởi động.
MS16-101
sửa 2 chỗ bị tổn thương leo thang quyền ưu tiên bằng
việc cập nhật cách mà các phương pháp xác thực Windows
điều khiển thiết lập các kênh an toàn; một lỗi như
vậy là Kerberos EoP và lỗi khác là Netlogon EoP. Kuzma nói
nó ảnh hưởng “tới tất cả các phiên bản Windows,
chính thức ngược về tới Vista. Đánh cược với bạn 1
USD rằng XP cũng bị tổn thương luôn”.
MS16-103
giải quyết lỗi làm lộ thông tin trong ActiveSyncProvider
for Windows 10 và Windows 10 Version 1511. “Chỗ bị tổn
thương này có thể cho phép lộ thông tin khi Universal
Outlook không thiết lập được kết nối an toàn”,
Microsoft đã lưu ý. “Bản cập nhật giải quyết chỗ bị
tổn thương bằng việc ngăn ngừa Universal Outlook khỏi
việc lộ tên và mật khẩu”.
Đó
là cho tháng 8. Vá víu tốt nhé!
For
August 2016, Patch Tuesday isn’t too painful. Microsoft released
nine security
bulletins, five of which were rated critical due to remote code
execution (RCE) vulnerabilities.
Why
so few this month? Michael Gray, VP of Technology at Thrive
Networks, suggested, “It stands to reason that Microsoft may
have kept things simple so as not to over-shadow the release of their
Windows 10 Anniversary update.”
Critical
MS16-095
is the cumulative monthly fix for Internet Explorer. It resolves five
memory corruption vulnerabilities and four information disclosure
flaws.
MS16-096
is the monthly cumulative patch for Microsoft Edge. It addresses
eight bugs, four of which are memory corruption flaws, one Microsoft
PDF RCE vulnerability and three information disclosure holes.
MS16-097
is a security update to address RCE vulnerabilities in Microsoft
graphics component; it is rated critical for all supported versions
of Windows, Office 2007 and 2010, Skype for Business 2016, as well as
Lync 2010 and 2013.
MS16-099
is the fix for Office, specifically three Office memory corruption
vulnerabilities, one graphics component memory corruption
vulnerability and one Microsoft OneNote information disclosure bug.
Bobby Kuzma, CISSP, systems engineer at Core
Security, added:
This Office update includes a fix for an ASLR bypass. While technologies like Address Space Layout Randomization make it more difficult for attackers to exploit overflow conditions, they are not a panacea. Defense in depth is the order of the day.
But hey, look on the bright side. There weren’t any font handling vulnerabilities this month.
MS16-102
resolves one RCE flaw in Microsoft Windows PDF library. According to
Core Security principal software engineer Jon Rudolph:
The big one to keep an eye out for this month is CVE-2016-3319 aka “Microsoft PDF Remote Code Execution Vulnerability” which is especially bad if your default browser is Edge configured to automatically show PDF content from websites. By exploiting this vulnerability an attacker could assume the same permissions as the logged in user. Fortunately, no exploits have been seen in the wild for this yet. It hasn't been publicly disclosed, although with the prevalence of PDF format, it's a safe bet that this going to live in the attacker’s toolkits for years to come.
Important
MS16-098
patches four elevation of privilege vulnerabilities in Windows
kernel-mode drivers.
MS16-100
resolves a security feature bypass bug in Windows Secure Boot. If
exploited, Microsoft said an attacker “could disable code integrity
checks, allowing test-signed executables and drivers to be loaded
into a target device. Furthermore, the attacker could bypass Secure
Boot Integrity Validation for BitLocker and Device Encryption
security features.” The patch blacklists affected boot managers.
MS16-101
fixes two elevation of privilege vulnerabilities by updating how
Windows authentication methods handle the establishment of secure
channels; one is a Kerberos EoP flaw and the other is a Netlogon EoP
bug. Kuzma said it impacts “all Windows versions, officially back
to Vista. Bet you a dollar that XP is vulnerable too.”
MS16-103
addresses an information disclosure flaw in ActiveSyncProvider for
Windows 10 and Windows 10 Version 1511. “The vulnerability could
allow information disclosure when Universal Outlook fails to
establish a secure connection,” Microsoft noted. “The update
addresses the vulnerability by preventing Universal Outlook from
disclosing usernames and passwords.”
That’s
it for August. Happy patching!
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.