Bản vá ngày thứ Ba của Microsoft - tháng 10/2016

Microsoft Patch Tuesday - October 2016

Posted by Alexander Chiu Oct., 12th 2016

Theo: http://blog.talosintel.com/2016/10/ms-tuesday.html#more

Bài được đưa lên Internet ngày: 12/10/2016

Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014

Bản vá ngày thứ Ba một lần nữa lại đã tới! Phát hành các bản tin về an toàn hàng tháng của Microsoft để giải quyết các chỗ bị tổn thương đưa ra các bản sửa lỗi cho 37 lỗi về an toàn mới được phát hiện. Phát hành hôm nay có tổng cộng 10 bản tin với 5 bản tin được xếp hạng sống còn và giải quyết các chỗ bị tổn thương trong Edge, Graphics Component, Internet Explorer, Video Control, và Adobe Flash Player. 4 bản tin được xếp hạng quan trọng và giải quyết các lỗi trong Office, Windows Diagnostic Hub, Windows Kernel-Mode Drivers, và Windows Registry. 1 bản tin được xếp hạng thông thường và giải quyết lỗi trong Microsoft Internet Messaging API.

Các bản tin được xếp hạng sống còn

Các bản tin sau được xếp hạng sống còn: MS16-118, MS16-119, MS16-120, MS16-122, MS16-127

MS16-118 và MS16-119 là các bản tin tháng này cho Internet Explorer và Edge một cách tương ứng. Bản tin của Internet Explorer sửa 11 chỗ bị tổn thương trong khi bản tin của Edge sửa 13 chỗ bị tổn thương. 7 chỗ bị tổn thương đã được thấy ảnh hưởng tới cả Edge và IE. Đa số các chỗ bị tổn thương được sửa là các lỗi hỏng bộ nhớ có thể dẫn tới thực thi mã tùy ý. Vài lỗi phát hiện thông tin và leo thang quyền ưu tiên cũng đã được sửa trong phát hành tháng này.

MS16-120 giải quyết 7 chỗ bị tổn thương trong Microsoft Graphics Component.. 2 trong số các chỗ bị tổn thương đó, CVE-2016-3393 và CVE-2016-3396, là các lỗi thực thi mã tùy ý trong thành phần GDI và thư viện phông chủ một cách tương ứng. Sự khai thác 2 lỗi đó là đạt được nếu người sử dụng lái chỉnh tới một website bị làm giả đặc biệt hoặc mở một tệp bị làm giả đặc biệt mà chúng được thiết kế để khai thác các lỗi đó. 2 lỗi leo thang quyền ưu tiên, CVE-2016-3270 and CVE-2016-7182, cũng đã được giải quyets trong đó một lỗi trong cách mà các phông chữ TrueType được phân tích hoặc một ứng dụng được làm giả đặc biệt có thể leo thang quyền ưu tiên của người sử dụng tới những thứ đó của người quản trị. 3 chỗ bị tổn thương còn lại (CVE-2016-3209, CVE-2016-3262, CVE-2016-3263) là các lỗi mở ra thông tin có thể được ASLR lừa đảo sử dụng.

MS16-122 giải quyết CVE-2016-0142, một chỗ bị tổn thương thực thi mã tùy ý trong Microsoft Video Control. Chỗ bị tổn thương này được nêu như là sự hỏng để truyền đúng các đối tượng trong bộ nhớ và có thể bị/được khai thác nếu người sử dụng mở một tệp được làm giả đặc biệt hoặc khởi động một tệp độc hại thực thi được. Các kịch bản tấn công ở những nơi điều này có thể xảy ra là các cuộc tấn công dựa vào thư điện tử hoặc nếu người sử dụng tải về một tệp/thực thi và mở nó trên máy của họ.

MS16-127 cập nhật Adobe Flash Player nhúng trong Internet Explorer và Edge và giải quyết tất cả các chỗ bị tổn thương được sửa trong APSB16-32. Để có thêm chi tiết về những gì có trong bản tin của Adobe Flash Player, xin tham chiếu tới bản tin được đăng trên website của Adobe.

Các bản tin được xếp hạng quan trọng

Các bản tin sau được xếp hạng là quan trọng: MS16-121, MS16-123, MS16-124, MS16-125

MS16-121 giải quyết CVE-2016-7193, một chỗ bị tổn thương thực thi mã tùy ý trong tất cả các phiên bản được hỗ trợ của Microsoft Office. CVE-2016-7193 được nêu như là lỗi hỏng bộ nhớ vì cách thức phân tích và điều khiển các tệp Rich Text Format (RTF). Sự khai thác chỗ bị tổn thương này đòi hỏi người sử dụng mở tệp được làm giả đặc biệt được thiết kế để khai thác lỗi này.

MS16-123 giải quyết 5 chỗ bị tổn thương leo thang quyền ưu tiên đã được nhận diện trong Windows Kernel-Mode Drivers. Tất cả 5 chỗ bị tổn thương là có thể khai thác được thông qua một người sử dụng có xác thực mà thực thi tệp nhị phân bị làm giả đặc biệt khai thác một trong các lỗi đó và leo thang quyền ưu tiên của người sử dụng tới các quyền của người quản trị. 4 chỗ bị tổn thương (CVE-2016-3266, CVE-2016-3376, CVE-2016-7185, CVE-2016-7191) nêu trong bản thân nhân trong khi cái thứ 5 (CVE-216-3341) nêu trong Windows Transaction Manager.

MS16-124 giải quyết 4 chỗ bị tổn thương leo thang quyền ưu tiên trong Windows Kernel. Tất cả 4 chỗ bị tổn thương (CVE-2016-0070, CVE-2016-0073, CVE-2016-0075, CVE-2016-0079) nêu như là kết quả của việc cho phép không đúng những người sử dụng Windows Kernel API để truy xuất thông tin nhạy cảm của Registry mà có thể được sử dụng để sau đó leo thang quyền ưu tiên của người sử dụng tới quyền của người quản trị. Sự khai thác các chỗ bị tổn thương đó có thể đạt được nếu thực thi được làm giả đặc biết được khởi động trên máy đích.

MS16-125 giải quyết CVE-2016-7188, một chỗ bị tổn thương leo thang quyền ưu tiên trong Windows Diagnostics Hub. CVE-2016-7188 nêu như là kết quả của việc hỏng Windows Diagnostics Hubs Standard Collector Service để làm sạch đúng đầu vào của người sử dụng, gây ra việc tải không an toàn một thư viện. Sự khai thác của chỗ bị tổn thương này đòi hỏi một người sử dụng có xác thực khởi tạo một trình thực thi bị làm giả đặc biệt mà khai thác chỗ bị tổn thương này.

Các bản tin được xếp hạng thông thường

MS16-126 là bản tin về an toàn duy nhất được xếp hạng thông thường trong tháng này, nó giải quyết CVE-2016-3298, một chỗ bị tổn thương mở ra thông tin trong Microsoft Internet Messaging API. CVE-2016-3298 nêu như một lỗi trong cách các đối tượng trong bộ nhớ được điều khiển và nếu bị khai thác, có thể cho phép kẻ địch kiểm tra liệu các tệp có đang tồn tại trên đĩa hay không. Sự khai thác có khả năng đạt được nếu người sử dụng lái chỉnh tới một website độc hại mà khai thác chỗ bị tổn thương này.

Tóm tắt

Trả lời cho phát hành các bản tin đó, Talos đang phát hành các quy định sau đây để giải quyết các chỗ bị tổn thương đó. Xin lưu ý là các quy định bổ sung có thể được phát hành ngày nào đó trong tương lai và các quy định hiện hành tuân thủ để thay đổi thông tin các chỗ bị tổn thương bổ sung đang bị treo. Để có thông tin về các quy định đương thời nhất, xin tham chiếu tới FireSIGHT Management Center hoặc Snort.org của chúng tôi.

Các quy định của Snort

• Các bản tin của Microsoft: 40364-40381, 40383-40405, 40408-40412, 40418-40428

Patch Tuesday has once again arrived! Microsoft's monthly release of security bulletins to address vulnerabilities provides fixes for 37 newly disclosed security flaws. Today's release sees a total of 10 bulletins with five of the bulletins rated critical and address vulnerabilities in Edge, Graphics Component, Internet Explorer, Video Control, and Adobe Flash Player. Four bulletins are rated important and address flaws in Office, Windows Diagnostic Hub, Windows Kernel-Mode Drivers, and Windows Registry. One bulletin is rated moderate and addresses a flaw in Microsoft Internet Messaging API.

Bulletins Rated Critical

The following bulletins are rated critical: MS16-118, MS16-119, MS16-120, MS16-122, MS16-127

MS16-118 and MS16-119 are this month's bulletins for Internet Explorer and Edge respectively. The Internet Explorer bulletin fixes 11 vulnerabilities while the Edge bulletin fixes 13 vulnerabilities. Seven vulnerabilities were found to affect both Edge and IE. The majority of the vulnerabilities fixed are memory corruption flaws that could lead to arbitrary code execution. Several privilege escalation and information disclosure flaws were also fixed in this month's release.
MS16-120 addresses seven vulnerabilities in the Microsoft Graphics Component. Two of the vulnerabilities, CVE-2016-3393 and CVE-2016-3396, are arbitrary code execution flaws in the GDI component and font library respectively. Exploitation of these two flaws is achievable if a user navigates to a specifically crafted website or opens a specifically crafted file that is designed to exploit these flaws. Two privilege escalation flaws, CVE-2016-3270 and CVE-2016-7182, were also addressed where a flaw in how TrueType fonts are parsed or a specifically crafted application could elevate the user's privilege to that of an administrator. The remaining three vulnerabilities (CVE-2016-3209, CVE-2016-3262, CVE-2016-3263) are information disclosure flaws that could be used circumvent ASLR.

MS16-122 addresses CVE-2016-0142, an arbitrary code execution vulnerability in Microsoft Video Control. This vulnerability manifests as a failure to properly handle objects in memory and could be exploited if a user opens a specifically crafted file or launches a malicious executable. Attack scenarios where this might occur are email-based attacks or if a user downloads a file/executable and opens it on their machine.
MS16-127 updates the embedded Adobe Flash Player in Internet Explorer and Edge and to address all the vulnerabilities fixed in APSB16-32. For more detail on what is contained in the Adobe Flash Player bulletin, please refer to the bulletin posted on Adobe's website.

Bulletins Rated Important

The following bulletins are rated important: MS16-121, MS16-123, MS16-124, MS16-125
MS16-121 addresses CVE-2016-7193, an arbitrary code execution vulnerability in all supported versions of Microsoft Office. CVE-2016-7193 manifests as a memory corruption flaw due to the way Office parses and handles Rich Text Format (RTF) files. Exploitation of this vulnerability requires that a user open a specifically crafted file that is designed to exploit this flaw.

MS16-123 addresses five local privilege escalation vulnerabilities that were identified in Windows Kernel-Mode Drivers. All five vulnerabilities are exploitable via an authenticated user executing a specifically crafted binary that exploits one of these flaws and elevates the user's privilege level to that of an administrator. Four of the vulnerabilities (CVE-2016-3266, CVE-2016-3376, CVE-2016-7185, CVE-2016-7191) manifest in the kernel itself while the fifth one (CVE-216-3341) manifests in the Windows Transaction Manager.
MS16-124 addresses four local privilege escalation vulnerabilities in the Windows Kernel. All four vulnerabilities (CVE-2016-0070, CVE-2016-0073, CVE-2016-0075, CVE-2016-0079) manifest as a result of the Windows Kernel API incorrectly permitting users to retrieve sensitive Registry information that could be used to then elevate a user's privileges to that of an administrator. Exploitation of these vulnerabilities could be achieved if a specifically crafted executable is launched on the target machine.
MS16-125 addresses CVE-2016-7188, a privilege escalation vulnerability in the Windows Diagnostics Hub. CVE-2016-7188 manifests as a result of the Windows Diagnostics Hubs Standard Collector Service failing to correctly sanitize user input, resulting in the unsafe loading of a library. Exploitation of this vulnerability requires that an authenticated user launch a specifically crafted executable that exploits this vulnerability.

Bulletins Rated Moderate

MS16-126 is the sole security bulletin with a moderate severity rating this month and addresses CVE-2016-3298, an information disclosure vulnerability in the Microsoft Internet Messaging API. CVE-2016-3298 manifests as a flaw in how objects in memory are handled and if exploited, could allow an adversary to test if files exist on disk. Exploitation is achievable if a user navigates to a malicious website that exploits this vulnerability.

Coverage

In response to the release of these bulletins, Talos is releasing the following rules to address these vulnerabilities. Please note that additional rules may be released at a future date and current rules are subject to change pending additional vulnerability information. For the most current rule information, please refer to your FireSIGHT Management Center or Snort.org.

Snort Rules

• Microsoft Bulletins: 40364-40381, 40383-40405, 40408-40412, 40418-40428

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com