Microsoft
Patch Tuesday - October 2016
Posted
by Alexander
Chiu Oct., 12th 2016
Bài
được đưa lên Internet ngày: 12/10/2016
Bản
vá ngày thứ Ba một lần nữa lại đã tới! Phát hành
các bản tin về an toàn hàng tháng của Microsoft để giải
quyết các chỗ bị tổn thương đưa ra các bản sửa lỗi
cho 37 lỗi về an toàn mới được phát hiện. Phát hành
hôm nay có tổng cộng 10 bản tin với 5 bản tin được
xếp hạng sống còn và giải quyết các chỗ bị tổn
thương trong Edge,
Graphics Component, Internet Explorer, Video Control, và Adobe Flash
Player. 4
bản tin được xếp hạng quan trọng và giải quyết các
lỗi trong Office, Windows Diagnostic Hub, Windows Kernel-Mode
Drivers, và Windows Registry. 1 bản tin được xếp hạng
thông thường và giải quyết lỗi trong Microsoft Internet
Messaging API.
Các
bản tin được xếp hạng sống còn
Các
bản tin sau được xếp hạng sống còn: MS16-118, MS16-119,
MS16-120, MS16-122, MS16-127
MS16-118
và MS16-119
là các bản tin tháng này cho Internet
Explorer và Edge một
cách tương ứng. Bản tin của Internet
Explorer sửa 11 chỗ bị
tổn thương trong khi bản tin của Edge sửa 13 chỗ
bị tổn thương. 7 chỗ
bị tổn thương đã được thấy ảnh hưởng tới cả
Edge và IE. Đa số các chỗ bị tổn thương được sửa
là các lỗi hỏng bộ nhớ có thể dẫn tới thực thi mã
tùy ý. Vài lỗi phát hiện thông tin và leo thang quyền ưu
tiên cũng đã được sửa trong phát hành tháng này.
MS16-120
giải quyết 7 chỗ
bị tổn thương trong Microsoft
Graphics Component.. 2 trong số các chỗ
bị tổn thương đó, CVE-2016-3393 và
CVE-2016-3396, là
các lỗi thực thi mã tùy ý trong thành phần GDI và thư
viện phông chủ một cách tương ứng. Sự khai thác 2 lỗi
đó là đạt được nếu người
sử dụng lái chỉnh
tới một website bị
làm giả đặc biệt hoặc mở một tệp bị làm giả đặc
biệt mà chúng được thiết kế để khai thác các lỗi
đó. 2 lỗi leo thang quyền
ưu tiên, CVE-2016-3270
and CVE-2016-7182, cũng
đã được giải quyets trong đó một lỗi trong cách mà
các phông chữ TrueType được phân tích hoặc một ứng
dụng được làm giả đặc biệt có thể leo
thang quyền ưu tiên của người sử dụng tới những
thứ đó của người quản trị. 3 chỗ
bị tổn thương còn lại (CVE-2016-3209,
CVE-2016-3262, CVE-2016-3263) là các lỗi mở ra thông tin có
thể được ASLR lừa đảo sử dụng.
MS16-122
giải quyết CVE-2016-0142, một chỗ
bị tổn thương thực thi mã tùy ý trong Microsoft
Video Control. Chỗ bị
tổn thương này được
nêu như là sự hỏng để truyền đúng các đối tượng
trong bộ nhớ và có thể bị/được khai thác nếu người
sử dụng mở một tệp được làm giả đặc biệt
hoặc khởi động một tệp độc hại thực thi được.
Các kịch bản tấn công ở những nơi điều này có thể
xảy ra là các cuộc tấn công dựa vào thư điện tử
hoặc nếu người sử dụng tải về một tệp/thực thi
và mở nó trên máy của họ.
MS16-127
cập nhật Adobe Flash
Player nhúng trong Internet
Explorer và Edge và giải quyết tất cả các chỗ
bị tổn thương được sửa
trong APSB16-32. Để có thêm chi tiết về những gì có
trong bản tin của Adobe Flash Player, xin tham chiếu tới bản
tin được đăng trên website
của Adobe.
Các
bản tin được xếp hạng quan trọng
Các
bản tin sau được xếp hạng là quan trọng: MS16-121,
MS16-123, MS16-124, MS16-125
MS16-121
giải quyết CVE-2016-7193, một chỗ
bị tổn thương thực thi mã tùy ý trong tất cả
các phiên bản được hỗ trợ của Microsoft
Office. CVE-2016-7193 được nêu như là lỗi hỏng bộ nhớ
vì cách thức phân tích và điều khiển các tệp Rich Text
Format (RTF). Sự khai thác chỗ
bị tổn thương này đòi hỏi người sử dụng mở
tệp được làm giả đặc biệt được thiết kế để
khai thác lỗi này.
MS16-123
giải quyết 5 chỗ
bị tổn thương leo thang quyền ưu tiên đã được nhận
diện trong Windows Kernel-Mode Drivers. Tất cả 5 chỗ
bị tổn thương là có
thể khai thác được thông qua một người
sử dụng có xác thực
mà thực thi tệp nhị phân bị làm giả đặc biệt khai
thác một trong các lỗi đó và leo
thang quyền ưu tiên của người sử dụng tới các
quyền của người quản trị. 4 chỗ
bị tổn thương (CVE-2016-3266, CVE-2016-3376, CVE-2016-7185,
CVE-2016-7191) nêu trong
bản thân nhân trong khi cái thứ 5 (CVE-216-3341) nêu trong
Windows Transaction Manager.
MS16-124
giải quyết 4 chỗ bị
tổn thương leo thang quyền ưu tiên trong Windows
Kernel. Tất cả 4 chỗ bị
tổn thương (CVE-2016-0070, CVE-2016-0073, CVE-2016-0075,
CVE-2016-0079) nêu như
là kết quả của việc cho phép không đúng những người
sử dụng Windows Kernel API để truy
xuất thông tin nhạy cảm của Registry mà có thể được
sử dụng để sau đó leo
thang quyền ưu tiên của người sử dụng tới quyền
của người quản trị. Sự khai thác các chỗ
bị tổn thương đó có
thể đạt được nếu thực thi được làm giả đặc
biết được khởi động trên máy đích.
MS16-125
giải quyết CVE-2016-7188, một chỗ
bị tổn thương leo thang quyền ưu tiên trong
Windows Diagnostics Hub. CVE-2016-7188 nêu như là kết quả của
việc hỏng Windows Diagnostics Hubs Standard Collector Service để
làm sạch đúng đầu vào của người
sử dụng, gây ra việc tải không an toàn một thư
viện. Sự khai thác của chỗ
bị tổn thương này đòi hỏi một người sử dụng
có xác thực khởi tạo một trình thực thi bị làm giả
đặc biệt mà khai thác chỗ
bị tổn thương này.
Các
bản tin được xếp hạng thông thường
MS16-126
là bản tin về an toàn duy nhất được xếp hạng thông
thường trong tháng này, nó giải quyết CVE-2016-3298, một
chỗ bị tổn thương
mở ra thông tin trong Microsoft
Internet Messaging API. CVE-2016-3298 nêu như một lỗi trong
cách các đối tượng trong bộ nhớ được điều khiển
và nếu bị khai thác, có thể cho phép kẻ địch kiểm
tra liệu các tệp có đang tồn tại trên đĩa hay không.
Sự khai thác có khả năng đạt được nếu người
sử dụng lái chỉnh tới một website độc hại mà
khai thác chỗ bị tổn
thương này.
Tóm
tắt
Trả
lời cho phát hành các bản tin đó, Talos đang phát hành
các quy định sau đây để giải quyết các chỗ
bị tổn thương đó. Xin
lưu ý là các quy định bổ sung có thể được phát hành
ngày nào đó trong tương lai và các quy định hiện hành
tuân thủ để thay đổi thông tin các chỗ
bị tổn thương bổ sung đang bị treo. Để có thông
tin về các quy định đương thời nhất, xin tham chiếu
tới FireSIGHT Management Center
hoặc Snort.org của chúng tôi.
Các
quy định của Snort
-
Các bản tin của Microsoft: 40364-40381, 40383-40405, 40408-40412, 40418-40428
Patch
Tuesday has once again arrived! Microsoft's monthly release of
security bulletins to address vulnerabilities provides fixes for 37
newly disclosed security flaws. Today's release sees a total of 10
bulletins with five of the bulletins rated critical and address
vulnerabilities in Edge, Graphics Component, Internet Explorer, Video
Control, and Adobe Flash Player. Four bulletins are rated important
and address flaws in Office, Windows Diagnostic Hub, Windows
Kernel-Mode Drivers, and Windows Registry. One bulletin is rated
moderate and addresses a flaw in Microsoft Internet Messaging API.
The
following bulletins are rated critical: MS16-118, MS16-119, MS16-120,
MS16-122, MS16-127
MS16-118 and MS16-119 are this month's bulletins for Internet Explorer and Edge respectively. The Internet Explorer bulletin fixes 11 vulnerabilities while the Edge bulletin fixes 13 vulnerabilities. Seven vulnerabilities were found to affect both Edge and IE. The majority of the vulnerabilities fixed are memory corruption flaws that could lead to arbitrary code execution. Several privilege escalation and information disclosure flaws were also fixed in this month's release.
MS16-120 addresses seven vulnerabilities in the Microsoft Graphics Component. Two of the vulnerabilities, CVE-2016-3393 and CVE-2016-3396, are arbitrary code execution flaws in the GDI component and font library respectively. Exploitation of these two flaws is achievable if a user navigates to a specifically crafted website or opens a specifically crafted file that is designed to exploit these flaws. Two privilege escalation flaws, CVE-2016-3270 and CVE-2016-7182, were also addressed where a flaw in how TrueType fonts are parsed or a specifically crafted application could elevate the user's privilege to that of an administrator. The remaining three vulnerabilities (CVE-2016-3209, CVE-2016-3262, CVE-2016-3263) are information disclosure flaws that could be used circumvent ASLR.
MS16-118 and MS16-119 are this month's bulletins for Internet Explorer and Edge respectively. The Internet Explorer bulletin fixes 11 vulnerabilities while the Edge bulletin fixes 13 vulnerabilities. Seven vulnerabilities were found to affect both Edge and IE. The majority of the vulnerabilities fixed are memory corruption flaws that could lead to arbitrary code execution. Several privilege escalation and information disclosure flaws were also fixed in this month's release.
MS16-120 addresses seven vulnerabilities in the Microsoft Graphics Component. Two of the vulnerabilities, CVE-2016-3393 and CVE-2016-3396, are arbitrary code execution flaws in the GDI component and font library respectively. Exploitation of these two flaws is achievable if a user navigates to a specifically crafted website or opens a specifically crafted file that is designed to exploit these flaws. Two privilege escalation flaws, CVE-2016-3270 and CVE-2016-7182, were also addressed where a flaw in how TrueType fonts are parsed or a specifically crafted application could elevate the user's privilege to that of an administrator. The remaining three vulnerabilities (CVE-2016-3209, CVE-2016-3262, CVE-2016-3263) are information disclosure flaws that could be used circumvent ASLR.
MS16-122
addresses CVE-2016-0142, an arbitrary code execution vulnerability in
Microsoft Video Control. This vulnerability manifests as a failure to
properly handle objects in memory and could be exploited if a user
opens a specifically crafted file or launches a malicious executable.
Attack scenarios where this might occur are email-based attacks or if
a user downloads a file/executable and opens it on their
machine.
MS16-127 updates the embedded Adobe Flash Player in Internet Explorer and Edge and to address all the vulnerabilities fixed in APSB16-32. For more detail on what is contained in the Adobe Flash Player bulletin, please refer to the bulletin posted on Adobe's website.
MS16-127 updates the embedded Adobe Flash Player in Internet Explorer and Edge and to address all the vulnerabilities fixed in APSB16-32. For more detail on what is contained in the Adobe Flash Player bulletin, please refer to the bulletin posted on Adobe's website.
The
following bulletins are rated important: MS16-121, MS16-123,
MS16-124, MS16-125
MS16-121 addresses CVE-2016-7193, an arbitrary code execution vulnerability in all supported versions of Microsoft Office. CVE-2016-7193 manifests as a memory corruption flaw due to the way Office parses and handles Rich Text Format (RTF) files. Exploitation of this vulnerability requires that a user open a specifically crafted file that is designed to exploit this flaw.
MS16-123 addresses five local privilege escalation vulnerabilities that were identified in Windows Kernel-Mode Drivers. All five vulnerabilities are exploitable via an authenticated user executing a specifically crafted binary that exploits one of these flaws and elevates the user's privilege level to that of an administrator. Four of the vulnerabilities (CVE-2016-3266, CVE-2016-3376, CVE-2016-7185, CVE-2016-7191) manifest in the kernel itself while the fifth one (CVE-216-3341) manifests in the Windows Transaction Manager.
MS16-124 addresses four local privilege escalation vulnerabilities in the Windows Kernel. All four vulnerabilities (CVE-2016-0070, CVE-2016-0073, CVE-2016-0075, CVE-2016-0079) manifest as a result of the Windows Kernel API incorrectly permitting users to retrieve sensitive Registry information that could be used to then elevate a user's privileges to that of an administrator. Exploitation of these vulnerabilities could be achieved if a specifically crafted executable is launched on the target machine.
MS16-125 addresses CVE-2016-7188, a privilege escalation vulnerability in the Windows Diagnostics Hub. CVE-2016-7188 manifests as a result of the Windows Diagnostics Hubs Standard Collector Service failing to correctly sanitize user input, resulting in the unsafe loading of a library. Exploitation of this vulnerability requires that an authenticated user launch a specifically crafted executable that exploits this vulnerability.
MS16-121 addresses CVE-2016-7193, an arbitrary code execution vulnerability in all supported versions of Microsoft Office. CVE-2016-7193 manifests as a memory corruption flaw due to the way Office parses and handles Rich Text Format (RTF) files. Exploitation of this vulnerability requires that a user open a specifically crafted file that is designed to exploit this flaw.
MS16-123 addresses five local privilege escalation vulnerabilities that were identified in Windows Kernel-Mode Drivers. All five vulnerabilities are exploitable via an authenticated user executing a specifically crafted binary that exploits one of these flaws and elevates the user's privilege level to that of an administrator. Four of the vulnerabilities (CVE-2016-3266, CVE-2016-3376, CVE-2016-7185, CVE-2016-7191) manifest in the kernel itself while the fifth one (CVE-216-3341) manifests in the Windows Transaction Manager.
MS16-124 addresses four local privilege escalation vulnerabilities in the Windows Kernel. All four vulnerabilities (CVE-2016-0070, CVE-2016-0073, CVE-2016-0075, CVE-2016-0079) manifest as a result of the Windows Kernel API incorrectly permitting users to retrieve sensitive Registry information that could be used to then elevate a user's privileges to that of an administrator. Exploitation of these vulnerabilities could be achieved if a specifically crafted executable is launched on the target machine.
MS16-125 addresses CVE-2016-7188, a privilege escalation vulnerability in the Windows Diagnostics Hub. CVE-2016-7188 manifests as a result of the Windows Diagnostics Hubs Standard Collector Service failing to correctly sanitize user input, resulting in the unsafe loading of a library. Exploitation of this vulnerability requires that an authenticated user launch a specifically crafted executable that exploits this vulnerability.
MS16-126
is the sole security bulletin with a moderate severity rating this
month and addresses CVE-2016-3298, an information disclosure
vulnerability in the Microsoft Internet Messaging API. CVE-2016-3298
manifests as a flaw in how objects in memory are handled and if
exploited, could allow an adversary to test if files exist on disk.
Exploitation is achievable if a user navigates to a malicious website
that exploits this vulnerability.
In
response to the release of these bulletins, Talos is releasing the
following rules to address these vulnerabilities. Please note that
additional rules may be released at a future date and current rules
are subject to change pending additional vulnerability information.
For the most current rule information, please refer to your FireSIGHT
Management Center or Snort.org.
-
Microsoft Bulletins: 40364-40381, 40383-40405, 40408-40412, 40418-40428
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.