Bản vá ngày thứ Ba tháng 8/2016: Microsoft phát hành 9 bản cập nhật an toàn, 5 được xếp hạng sống còn

August 2016 Patch Tuesday: Microsoft releases 9 security updates, 5 rated critical

Credit: Open Clips

Network World | Aug 9, 2016 11:10 AM PT

Theo: http://www.networkworld.com/article/3105531/security/august-2016-patch-tuesday-microsoft-releases-9-security-updates-5-rated-critical.html

Bài được đưa lên Internet ngày: 09/08/2016

Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014

Đối với tháng 8/2016, Bản vá ngày thứ Ba không quá đau đớn. Microsoft đã phát hành 9 bản tin về an toàn, 5 trong số đó đã được xếp hạng sống còn vì các chỗ bị tổn thương thực thi mã từ xa (RCE).

Vì sao lại ít thế trong tháng này? Michael Gray, Phó Chủ tịch của Technology ở Thrive Networks, đã gợi ý, “Lý do là Microsoft có lẽ làm cho mọi điều đơn giản sao cho không làm mờ đi quá đáng phát hành bản cập nhật Lễ kỷ niệm Windows 10”.

Sống còn

MS16-095 là sửa lỗi cộng dồn theo tháng cho Internet Explorer. Nó giải quyết 5 chỗ bị tổn thương hỏng bộ nhớ và 4 lỗi lộ thông tin.

MS16-096 là bản vá cộng dồn theo tháng cho Microsoft Edge. Nó giải quyết 8 lỗi, 4 trong số đó là các lỗi hỏng bộ nhớ, một chỗ bị tổn thương Microsoft PDF RCE và 3 lỗ hổng làm lộ thông tin.

MS16-097 là bản cập nhật an toàn để giải quyết các chỗ bị tổn thương RCE trong thành phần đồ họa của Microsoft; nó được xếp hạng sống còn vì tất cả các phiên bản được hỗ trợ của Windows, Office 2007 và 2010, Skype for Business 2016, cũng như Lync 2010 và 2013.

MS16-099 là sửa cho Office, đặc biệt 3 chỗ bị tổn thương hỏng bộ nhớ của Office, 1 chỗ bị tổn thương hỏng bộ nhớ của thành phần đồ họa và 1 lỗi làm lộ thông tin trong Microsoft OneNote. Bobby Kuzma, CISSP, kỹ sư hệ thống ở Core Security, đã bổ sung thêm:

Bản cập nhật Office này bao gồm sự sửa lỗi bỏ qua ASLR. Trong khi các công nghệ như Address Space Layout Randomization làm cho nó khó khăn hơn cho những kẻ tấn công khai thác các điều kiện tràn bộ nhớ, chúng không phải là thuốc trị bách bệnh. Phòng thủ theo chiều sâu là trật tự của ngày nay.

Nhưng mà này, hãy nhìn vào phía tốt. Đã từng có bất kỳ chỗ bị tổn thương điều khiển phông chữ tháng này.

MS16-102 giải quyết lỗi RCE trong thư viện của Microsoft Windows PDF. Theo kỹ sư chính về phần mềm Jon Rudolph của Core Security:

Một vấn đề lớn phải để mắt tới trong tháng này là CVE-2016-3319 tức là “chỗ bị tổn thương thực thi mã từ xa của Microsoft PDF” vì nó là đặc biệt tệ hại nếu trình duyệt mặc định của bạn là Edge được thiết lập cấu hình để tự động chỉ ra nội dung PDF từ website. Bằng việc khai thác chỗ bị tổn thương này, một kẻ tấn công có thể làm giả các quyền các quyền y hệt như người sử dụng đã đăng nhập vào. May thay, không có sự khai thác nào từng được thấy cho tới nay. Nó chưa từng bị mở ra công khai, dù với ưu tiên định dạng PDF, nó là cược an toàn rằng điều này sẽ là có trong các bộ công cụ của kẻ tấn công trong những năm tới.

Quan trọng

MS16-098 và các chỗ bị tổn thương leo thang quyền ưu tiên trong các trình điều khiển chế độ nhân của Windows.

MS16-100 giải quyết lỗi bỏ qua tính năng an toàn trong Windows Secure Boot. Nếu bị khai thác, Microsoft nói một kẻ tấn công “có thể vô hiệu hóa các kiểm tra tính toàn vẹn của mã, cho phép thực thi kiểm thử được chỉ định và các trình điều khiển sẽ bị tải vào thiết bị đích. Hơn nữa, kẻ tấn công có thể vượt qua các tính năng an toàn của Secure Boot Integrity Validation for BitLocker and Device Encryption”. Các danh sách đen các bản vá đã ảnh hưởng tới các trình quản lý khởi động.

MS16-101 sửa 2 chỗ bị tổn thương leo thang quyền ưu tiên bằng việc cập nhật cách mà các phương pháp xác thực Windows điều khiển thiết lập các kênh an toàn; một lỗi như vậy là Kerberos EoP và lỗi khác là Netlogon EoP. Kuzma nói nó ảnh hưởng “tới tất cả các phiên bản Windows, chính thức ngược về tới Vista. Đánh cược với bạn 1 USD rằng XP cũng bị tổn thương luôn”.

MS16-103 giải quyết lỗi làm lộ thông tin trong ActiveSyncProvider for Windows 10 và Windows 10 Version 1511. “Chỗ bị tổn thương này có thể cho phép lộ thông tin khi Universal Outlook không thiết lập được kết nối an toàn”, Microsoft đã lưu ý. “Bản cập nhật giải quyết chỗ bị tổn thương bằng việc ngăn ngừa Universal Outlook khỏi việc lộ tên và mật khẩu”.

Đó là cho tháng 8. Vá víu tốt nhé!

For August 2016, Patch Tuesday isn’t too painful. Microsoft released nine security bulletins, five of which were rated critical due to remote code execution (RCE) vulnerabilities.

Why so few this month? Michael Gray, VP of Technology at Thrive Networks, suggested, “It stands to reason that Microsoft may have kept things simple so as not to over-shadow the release of their Windows 10 Anniversary update.”

Critical

MS16-095 is the cumulative monthly fix for Internet Explorer. It resolves five memory corruption vulnerabilities and four information disclosure flaws.

MS16-096 is the monthly cumulative patch for Microsoft Edge. It addresses eight bugs, four of which are memory corruption flaws, one Microsoft PDF RCE vulnerability and three information disclosure holes.

MS16-097 is a security update to address RCE vulnerabilities in Microsoft graphics component; it is rated critical for all supported versions of Windows, Office 2007 and 2010, Skype for Business 2016, as well as Lync 2010 and 2013.

MS16-099 is the fix for Office, specifically three Office memory corruption vulnerabilities, one graphics component memory corruption vulnerability and one Microsoft OneNote information disclosure bug. Bobby Kuzma, CISSP, systems engineer at Core Security, added:

This Office update includes a fix for an ASLR bypass. While technologies like Address Space Layout Randomization make it more difficult for attackers to exploit overflow conditions, they are not a panacea. Defense in depth is the order of the day.

But hey, look on the bright side. There weren’t any font handling vulnerabilities this month.

MS16-102 resolves one RCE flaw in Microsoft Windows PDF library. According to Core Security principal software engineer Jon Rudolph:

The big one to keep an eye out for this month is CVE-2016-3319 aka “Microsoft PDF Remote Code Execution Vulnerability” which is especially bad if your default browser is Edge configured to automatically show PDF content from websites. By exploiting this vulnerability an attacker could assume the same permissions as the logged in user. Fortunately, no exploits have been seen in the wild for this yet. It hasn't been publicly disclosed, although with the prevalence of PDF format, it's a safe bet that this going to live in the attacker’s toolkits for years to come.

Important

MS16-098 patches four elevation of privilege vulnerabilities in Windows kernel-mode drivers.

MS16-100 resolves a security feature bypass bug in Windows Secure Boot. If exploited, Microsoft said an attacker “could disable code integrity checks, allowing test-signed executables and drivers to be loaded into a target device. Furthermore, the attacker could bypass Secure Boot Integrity Validation for BitLocker and Device Encryption security features.” The patch blacklists affected boot managers.

MS16-101 fixes two elevation of privilege vulnerabilities by updating how Windows authentication methods handle the establishment of secure channels; one is a Kerberos EoP flaw and the other is a Netlogon EoP bug. Kuzma said it impacts “all Windows versions, officially back to Vista. Bet you a dollar that XP is vulnerable too.”

MS16-103 addresses an information disclosure flaw in ActiveSyncProvider for Windows 10 and Windows 10 Version 1511. “The vulnerability could allow information disclosure when Universal Outlook fails to establish a secure connection,” Microsoft noted. “The update addresses the vulnerability by preventing Universal Outlook from disclosing usernames and passwords.”

That’s it for August. Happy patching!

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com