Nov
2016 Patch Tuesday: Microsoft released 14 security updates, 6 rated
critical
Microsoft
đã phát
hành 14 bản cập nhật, 6 được xếp hạng sống còn, và
sửa lỗi ngày số 0 mà Google đã làm lộ
Microsoft
released 14 security updates, six rated critical, and a fix for the
0-day disclosed by Google
Network
World | Nov 8, 2016 11:54 AM PT
Bài
được đưa lên Internet ngày: 08/11/2016
Bổ
sung thêm cho việc phát hành 14
bản cập nhật về an toàn vào Bản vá ngày thứ Ba
trùng ngày Bầu cử, 6 trong số đó được xếp hạng sống
còn, Trung tâm Phản ứng về An toàn của Microsoft
đã trả
lời các yêu cầu truy cập tốt hơn tới thông tin cập
nhật về an toàn; Giải pháp của Microsoft
từng là
phát hành bản xem trước Chỉ dẫn Cập nhật An toàn
(Security
Update Guide)
mới của hãng, “địa chỉ duy nhất cho thông tin về chỗ
bị tổn thương về
an toàn”.
MSRC
đã
bổ sung thêm, “Thay vì xuất bản các bản tin để mô
tả các chỗ
bị tổn thương có
liên quan, cổng mới cho phép các khách hàng của chúng tôi
xem và tìm thông tin về chỗ
bị tổn thương về an toàn trong một cơ
sở dữ liệu duy nhất
trên
trực tuyến”.
Sau
khi áp dụng các điều khoản dịch vụ đó, bạn có thể
sắp xếp, lọc ra các sản phẩm và “khoan sâu” vào
“chi tiết hơn các thông tin cập nhật về an toàn”.
Nếu
không đi tiếp như vậy, hãy nhảy vào phần thực dụng.
Được
xếp hạng sống còn
MS16-129
là bản vá có tính tích lũy cộng dồn cho trình duyệt
Edge của Microsoft.
Nó đóng lại 17 lỗ thủng, bao gồm các lỗi thực thi mã
từ xa thông qua 4 chỗ
bị tổn thương hỏng bộ nhớ của trình duyệt và
8 lỗi hỏng bộ nhớ máy tạo bản thảo. Bản vá đó
cũng sửa 4 lỗi bị lộ thông tin và 1 chỗ
bị tổn thương có
tính lừa gạt.
Cả
lỗi bị lộ thông tin trình duyệt của Microsoft
và lỗi có tính lừa gạt Edge của Microsoft
đã từng
bị tiết lộ công
khai,
dù Microsoft
nói các lỗi đó còn chưa bị khai thác.
MS16-130
là sửa chỗ
bị tổn thương thực thi mã từ xa trong Windows, cũng
như 2 lỗi leo thang quyền ưu tiên - một lỗi trong Task
Scheduler và lỗi kia trong đầu vào Method Editor của Windows
(IME).
MS16-131
và một chỗ
bị tổn thương RCE trong Microsoft
Video Control, khi nó nằm trong các đối tượng điều
khiển đúng trong bộ nhớ.
MS16-132
đóng lại các lỗ hổng trong Microsoft
Grapics Component mà có thể dẫn tới RCE. Microsoft
đã lưu
ý rằng chỗ
bị tổn thương tồn tại khi thư viện phông của
Windows điều khiển không đúng các phông chữ nhúng bị
làm giả đặc biệt. Có các lỗi hỏng bộ nhớ có thể
dẫn tới RCE trong Windows Animation Manager và Windows Media
Foundation.Một chỗ
bị tổn thương RCE khác trong Open Type Font, nhưng lỗi
này đã và đang bị khai thác thậm chí dù Microsoft
nói nó đã được tiết lộ công khai.
Hơn
nữa, Microsoft
nói lỗi tiết lộ thông tin đang tồn tại khi Adobe
Type Manager Font Driver (ATMFD) “tiết lộ không đúng các
nội dung bộ nhớ của nó”.
MS16-141
fixes a plethora of RCE holes in Adobe Flash.
MS16-133
và vô số
các lỗ hổng trong Office, gồm 10 lỗi hỏng bộ nhớ có
thể dẫn tới RCE, lỗi từ chối dịch vụ và chỗ
bị tổn thương tiết lộ thông tin.
MS16-142
là bản cập nhật cộng dồn cho IE. Nó giải quyết 4 lỗi
hỏng bộ nhớ của trình duyệt có thể cho phép RCE và 3
lỗi tiết lộ thông tin - một trong số đó đã được/bị
tiết lộ công khai như được đánh dấu như là còn
chưa bị khai thác.
MS16-141
sửa trạng thái các lỗ hổng RCE trong Adobe Flash.
Được
xếp hạng quan trọng
Dù
chỉ được Microsoft
xếp hạng quan trọng, MS16-135
và lỗi ngày số 0 (zero-day)
mà Google đã
tiết lộ hôm 31/10; nó đang bị khai thác tích cực
và sẽ là ưu tiên hàng đầu.
Về
chỗ bị tổn
thương của
Win32k EoP CVE-2016-7255, Microsoft
nói hãng “đã triển khai những biện pháp làm giảm
nhẹ khai thác trong Windows 10 Anniversary Update phiên bản
thành phần nhân win32k. Các biện pháp làm giảm nhẹ
Windows 10 Anniversary Update đó đã được phát triển dựa
vào nghiên cứu nội bộ chủ động tích cực, dừng tất
cả các trường hợp được quan sát thấy đang bị khai
thác lỗi này”.
MS16-135
cũng giải quyết các vấn đề khác trong các trình điều
khiển chế độ nhân của Windows. Tổng cộng, có 3 lỗi
Win32k có thể cho phép leo thang quyền ưu tiên và 2 lỗi
tiết lộ thông tin - một trong Win32k và một trong trình
duyệt của Microsoft.
MS16-134
sửa 10
lỗi của Windows Common Log File System mà có thể cho phép
leo thang quyền ưu tiên. Microsoft
đã lưu
ý trình điều khiển CLFS điều khiển không đúng các đối
tượng trong bộ nhớ, kịch bản tấn công cục bộ bao
gồm kẻ tấn công khai thác các chỗ
bị tổn thương “để
chiếm
hoàn toàn kiểm soát hệ thống bị lây nhiễm”.
MS16-137
là bản cập nhật về an toàn cho Windows Authentication
Methods, đặc biệt sửa một chỗ
bị tổn thương của Windows NTLM EoP, lỗi tiết lộ
thông tin của Virtual Secure Mode và lỗ thủng từ chối
dịch vụ của Local Security Authority Subsystem.
MS16-136
giải quyết 10 lỗ hổng trong Microsoft SQL Server. Khi liệt
kê ra các đặc tính, Microsoft
đã nhắc
tới 3 lỗ hổng trong SQL RDBMS Engine EoP. Sửa lỗi cách mà
SQL Server điều khiển tung ra con trỏ. Có một chỗ
bị tổn thương XSS EoP trong SQL Server MDS, một lỗi
của SQL Server Agent EoP và chỗ
bị tổn thương tiết lộ thông tin trong Microsoft SQL
Analysis Services.
MS16-138
giải quyết các chỗ
bị tổn thương trong Microsoft Virtual Hard Drive bằng
việc sửa các lỗi VHD Driver EoP có thể cho phép kẻ tấn
công truy cập và điều khiển các tệp.
MS16-139
sửa chỗ bị
tổn thương của Windows kernel EoP. “Bản cập nhật
về an toàn giải quyết chỗ
bị tổn thương này
bằng việc giúp đảm bảo rằng Windows Kernel API ép
tuân thủ đúng sự cho phép”.
MS16-140
sửa lỗi bỏ qua tính năng về an toàn có thể bị khai
thác “nếu kẻ tấn công hiện diện vật lý cài đặt
một chính sách khởi động bị lây nhiễm”.
Vui
vẻ vá nhé!
In
addition to releasing 14
security updates on Election Day Patch Tuesday, six of which are
rated critical, the Microsoft Security Response Center responded to
requests for better access to security update information;
Microsoft’s solution was to release a preview of its new Security
Update Guide, “a single destination for security vulnerability
information.”
MSRC
added,
“Instead of publishing bulletins to describe related
vulnerabilities, the new portal lets our customers view and search
security vulnerability information in a single online database.”
After
accepting the terms of service, you can sort, filter out products and
“drill down” into “more detailed security update information.”
Without
further ado, let’s jump into the nitty-gritty.
Rated
critical
MS16-129
is the cumulative patch for Microsoft’s Edge browser. It closes 17
holes, including remote code execution flaws via four browser memory
corruption vulnerabilities and eight scripting engine memory
corruption bugs. The patch also fixes four information disclosure
flaws and one spoofing vulnerability.
Both
the Microsoft browser information disclosure bug and the Microsoft
Edge spoofing bug have been publicly
disclosed, although
Microsoft said the flaws have not been exploited.
MS16-130
is the fix for a remote code execution vulnerability in Windows, as
well as two elevation of privilege flaws—one in Task Scheduler and
the other in Windows Input Method Editor (IME).
MS16-131
patches an RCE vulnerability in Microsoft Video Control, as it fails
to properly handle objects in memory.
MS16-132
closes holes in Microsoft Graphics Component that could lead to RCE.
Microsoft noted that the vulnerability exists when the Windows font
library improperly handles specially crafted embedded fonts. There
are memory corruption flaws that could lead to RCE in Windows
Animation Manager and Windows Media Foundation. Another RCE
vulnerability is in Open Type Font, but this is
being exploited even
though Microsoft said it wasn’t publicly disclosed.
Additionally,
Microsoft said an information disclosure flaw exists when the Adobe
Type Manager Font Driver (ATMFD) “improperly discloses the contents
of its memory.”
MS16-133
is to patch numerous holes in Office, including 10 memory corruption
bugs that could lead to RCE, a denial-of-service flaw and an
information disclosure vulnerability.
MS16-142
is the cumulative update for IE. It resolves four browser memory
corruption flaws that could allow RCE and three information
disclosure bugs—one of which was publicly
disclosed but marked as
not being exploited.
Rated
important
Although
only rated important by Microsoft, MS16-135
patches the zero-day
that Google disclosed
on Oct. 31; it is being actively
exploited and should be
a top priority.
Regarding
the Win32k EoP vulnerability CVE-2016-7255, Microsoft said it
“implemented new exploit mitigations in the Windows 10 Anniversary
Update version of the win32k kernel component. These Windows 10
Anniversary Update mitigations, which were developed based on
proactive internal research, stop all observed in-the-wild instances
of this exploit.”
MS16-135
also addresses other issues in Windows kernel-mode drivers. In total,
there are three Win32k flaws that could allow elevation of privilege
and two information disclosure flaws—one in Win32k and another in
Microsoft browser.
MS16-134
fixes 10 Windows Common Log File System flaws that could allow
elevation of privilege. Microsoft noted the CLFS driver improperly
handles objects in memory; a local attack scenario included an
attacker exploiting the vulnerabilities “to take complete control
over the affected system.”
MS16-136
addresses 10 holes in Microsoft SQL Server. When listing out
specifics, Microsoft mentioned three SQL RDBMS Engine EoP holes. The
fix corrects how SQL Server handles pointer casting. There is an XSS
EoP vulnerability in SQL Server MDS, one SQL Server Agent EoP bug and
an information disclosure vulnerability in Microsoft SQL Analysis
Services.
MS16-138
resolves vulnerabilities in Microsoft Virtual Hard Drive by
correcting four VHD Driver EoP flaws that could allow an attacker to
access and manipulate files.
MS16-139
fixes a Windows kernel EoP vulnerability. “The security update
addresses the vulnerability by helping to ensure that the Windows
Kernel API properly enforces permissions.”
MS16-140
fixes a security feature bypass flaw that could be exploited “if a
physically-present attacker installs an affected boot policy.”
Happy
patching!
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.