Thứ Tư, 9 tháng 11, 2016

Bản vá ngày thứ Ba tháng 11/2016: Microsoft đã phát hành 14 bản cập nhật, 6 được xếp hạng sống còn

Nov 2016 Patch Tuesday: Microsoft released 14 security updates, 6 rated critical
Microsoft đã phát hành 14 bản cập nhật, 6 được xếp hạng sống còn, và sửa lỗi ngày số 0 mà Google đã làm lộ
Microsoft released 14 security updates, six rated critical, and a fix for the 0-day disclosed by Google
Network World | Nov 8, 2016 11:54 AM PT
Bài được đưa lên Internet ngày: 08/11/2016


Bổ sung thêm cho việc phát hành 14 bản cập nhật về an toàn vào Bản vá ngày thứ Ba trùng ngày Bầu cử, 6 trong số đó được xếp hạng sống còn, Trung tâm Phản ứng về An toàn của Microsoft đã trả lời các yêu cầu truy cập tốt hơn tới thông tin cập nhật về an toàn; Giải pháp của Microsoft từng là phát hành bản xem trước Chỉ dẫn Cập nhật An toàn (Security Update Guide) mới của hãng, “địa chỉ duy nhất cho thông tin về chỗ bị tổn thương về an toàn”.
MSRC đã bổ sung thêm, “Thay vì xuất bản các bản tin để mô tả các chỗ bị tổn thương có liên quan, cổng mới cho phép các khách hàng của chúng tôi xem và tìm thông tin về chỗ bị tổn thương về an toàn trong một cơ sở dữ liệu duy nhất trên trực tuyến”.
Sau khi áp dụng các điều khoản dịch vụ đó, bạn có thể sắp xếp, lọc ra các sản phẩm và “khoan sâu” vào “chi tiết hơn các thông tin cập nhật về an toàn”.
Nếu không đi tiếp như vậy, hãy nhảy vào phần thực dụng.


Được xếp hạng sống còn
MS16-129 là bản vá có tính tích lũy cộng dồn cho trình duyệt Edge của Microsoft. Nó đóng lại 17 lỗ thủng, bao gồm các lỗi thực thi mã từ xa thông qua 4 chỗ bị tổn thương hỏng bộ nhớ của trình duyệt và 8 lỗi hỏng bộ nhớ máy tạo bản thảo. Bản vá đó cũng sửa 4 lỗi bị lộ thông tin và 1 chỗ bị tổn thương có tính lừa gạt.
Cả lỗi bị lộ thông tin trình duyệt của Microsoft và lỗi có tính lừa gạt Edge của Microsoft đã từng bị tiết lộ công khai, dù Microsoft nói các lỗi đó còn chưa bị khai thác.
MS16-130 là sửa chỗ bị tổn thương thực thi mã từ xa trong Windows, cũng như 2 lỗi leo thang quyền ưu tiên - một lỗi trong Task Scheduler và lỗi kia trong đầu vào Method Editor của Windows (IME).
MS16-131 và một chỗ bị tổn thương RCE trong Microsoft Video Control, khi nó nằm trong các đối tượng điều khiển đúng trong bộ nhớ.
MS16-132 đóng lại các lỗ hổng trong Microsoft Grapics Component mà có thể dẫn tới RCE. Microsoft đã lưu ý rằng chỗ bị tổn thương tồn tại khi thư viện phông của Windows điều khiển không đúng các phông chữ nhúng bị làm giả đặc biệt. Có các lỗi hỏng bộ nhớ có thể dẫn tới RCE trong Windows Animation Manager và Windows Media Foundation.Một chỗ bị tổn thương RCE khác trong Open Type Font, nhưng lỗi này đã và đang bị khai thác thậm chí dù Microsoft nói nó đã được tiết lộ công khai.
Hơn nữa, Microsoft nói lỗi tiết lộ thông tin đang tồn tại khi Adobe Type Manager Font Driver (ATMFD) “tiết lộ không đúng các nội dung bộ nhớ của nó”.
MS16-141 fixes a plethora of RCE holes in Adobe Flash.
MS16-133 và vô số các lỗ hổng trong Office, gồm 10 lỗi hỏng bộ nhớ có thể dẫn tới RCE, lỗi từ chối dịch vụ và chỗ bị tổn thương tiết lộ thông tin.
MS16-142 là bản cập nhật cộng dồn cho IE. Nó giải quyết 4 lỗi hỏng bộ nhớ của trình duyệt có thể cho phép RCE và 3 lỗi tiết lộ thông tin - một trong số đó đã được/bị tiết lộ công khai như được đánh dấu như là còn chưa bị khai thác.
MS16-141 sửa trạng thái các lỗ hổng RCE trong Adobe Flash.


Được xếp hạng quan trọng
Dù chỉ được Microsoft xếp hạng quan trọng, MS16-135 và lỗi ngày số 0 (zero-day) mà Google đã tiết lộ hôm 31/10; nó đang bị khai thác tích cực và sẽ là ưu tiên hàng đầu.
Về chỗ bị tổn thương của Win32k EoP CVE-2016-7255, Microsoft nói hãng “đã triển khai những biện pháp làm giảm nhẹ khai thác trong Windows 10 Anniversary Update phiên bản thành phần nhân win32k. Các biện pháp làm giảm nhẹ Windows 10 Anniversary Update đó đã được phát triển dựa vào nghiên cứu nội bộ chủ động tích cực, dừng tất cả các trường hợp được quan sát thấy đang bị khai thác lỗi này”.
MS16-135 cũng giải quyết các vấn đề khác trong các trình điều khiển chế độ nhân của Windows. Tổng cộng, có 3 lỗi Win32k có thể cho phép leo thang quyền ưu tiên và 2 lỗi tiết lộ thông tin - một trong Win32k và một trong trình duyệt của Microsoft.
MS16-134 sửa 10 lỗi của Windows Common Log File System mà có thể cho phép leo thang quyền ưu tiên. Microsoft đã lưu ý trình điều khiển CLFS điều khiển không đúng các đối tượng trong bộ nhớ, kịch bản tấn công cục bộ bao gồm kẻ tấn công khai thác các chỗ bị tổn thương “để chiếm hoàn toàn kiểm soát hệ thống bị lây nhiễm”.
MS16-137 là bản cập nhật về an toàn cho Windows Authentication Methods, đặc biệt sửa một chỗ bị tổn thương của Windows NTLM EoP, lỗi tiết lộ thông tin của Virtual Secure Mode và lỗ thủng từ chối dịch vụ của Local Security Authority Subsystem.
MS16-136 giải quyết 10 lỗ hổng trong Microsoft SQL Server. Khi liệt kê ra các đặc tính, Microsoft đã nhắc tới 3 lỗ hổng trong SQL RDBMS Engine EoP. Sửa lỗi cách mà SQL Server điều khiển tung ra con trỏ. Có một chỗ bị tổn thương XSS EoP trong SQL Server MDS, một lỗi của SQL Server Agent EoP và chỗ bị tổn thương tiết lộ thông tin trong Microsoft SQL Analysis Services.
MS16-138 giải quyết các chỗ bị tổn thương trong Microsoft Virtual Hard Drive bằng việc sửa các lỗi VHD Driver EoP có thể cho phép kẻ tấn công truy cập và điều khiển các tệp.
MS16-139 sửa chỗ bị tổn thương của Windows kernel EoP. “Bản cập nhật về an toàn giải quyết chỗ bị tổn thương này bằng việc giúp đảm bảo rằng Windows Kernel API ép tuân thủ đúng sự cho phép”.
MS16-140 sửa lỗi bỏ qua tính năng về an toàn có thể bị khai thác “nếu kẻ tấn công hiện diện vật lý cài đặt một chính sách khởi động bị lây nhiễm”.
Vui vẻ vá nhé!
In addition to releasing 14 security updates on Election Day Patch Tuesday, six of which are rated critical, the Microsoft Security Response Center responded to requests for better access to security update information; Microsoft’s solution was to release a preview of its new Security Update Guide, “a single destination for security vulnerability information.”
MSRC added, “Instead of publishing bulletins to describe related vulnerabilities, the new portal lets our customers view and search security vulnerability information in a single online database.”
After accepting the terms of service, you can sort, filter out products and “drill down” into “more detailed security update information.”
Without further ado, let’s jump into the nitty-gritty.
Rated critical
MS16-129 is the cumulative patch for Microsoft’s Edge browser. It closes 17 holes, including remote code execution flaws via four browser memory corruption vulnerabilities and eight scripting engine memory corruption bugs. The patch also fixes four information disclosure flaws and one spoofing vulnerability.
Both the Microsoft browser information disclosure bug and the Microsoft Edge spoofing bug have been publicly disclosed, although Microsoft said the flaws have not been exploited.
MS16-130 is the fix for a remote code execution vulnerability in Windows, as well as two elevation of privilege flaws—one in Task Scheduler and the other in Windows Input Method Editor (IME).
MS16-131 patches an RCE vulnerability in Microsoft Video Control, as it fails to properly handle objects in memory.
MS16-132 closes holes in Microsoft Graphics Component that could lead to RCE. Microsoft noted that the vulnerability exists when the Windows font library improperly handles specially crafted embedded fonts. There are memory corruption flaws that could lead to RCE in Windows Animation Manager and Windows Media Foundation. Another RCE vulnerability is in Open Type Font, but this is being exploited even though Microsoft said it wasn’t publicly disclosed.
Additionally, Microsoft said an information disclosure flaw exists when the Adobe Type Manager Font Driver (ATMFD) “improperly discloses the contents of its memory.”
MS16-133 is to patch numerous holes in Office, including 10 memory corruption bugs that could lead to RCE, a denial-of-service flaw and an information disclosure vulnerability.
MS16-142 is the cumulative update for IE. It resolves four browser memory corruption flaws that could allow RCE and three information disclosure bugs—one of which was publicly disclosed but marked as not being exploited.
Rated important
Although only rated important by Microsoft, MS16-135 patches the zero-day that Google disclosed on Oct. 31; it is being actively exploited and should be a top priority.
Regarding the Win32k EoP vulnerability CVE-2016-7255, Microsoft said it “implemented new exploit mitigations in the Windows 10 Anniversary Update version of the win32k kernel component. These Windows 10 Anniversary Update mitigations, which were developed based on proactive internal research, stop all observed in-the-wild instances of this exploit.”
MS16-135 also addresses other issues in Windows kernel-mode drivers. In total, there are three Win32k flaws that could allow elevation of privilege and two information disclosure flaws—one in Win32k and another in Microsoft browser.
MS16-134 fixes 10 Windows Common Log File System flaws that could allow elevation of privilege. Microsoft noted the CLFS driver improperly handles objects in memory; a local attack scenario included an attacker exploiting the vulnerabilities “to take complete control over the affected system.”
MS16-136 addresses 10 holes in Microsoft SQL Server. When listing out specifics, Microsoft mentioned three SQL RDBMS Engine EoP holes. The fix corrects how SQL Server handles pointer casting. There is an XSS EoP vulnerability in SQL Server MDS, one SQL Server Agent EoP bug and an information disclosure vulnerability in Microsoft SQL Analysis Services.
MS16-138 resolves vulnerabilities in Microsoft Virtual Hard Drive by correcting four VHD Driver EoP flaws that could allow an attacker to access and manipulate files.
MS16-139 fixes a Windows kernel EoP vulnerability. “The security update addresses the vulnerability by helping to ensure that the Windows Kernel API properly enforces permissions.”
MS16-140 fixes a security feature bypass flaw that could be exploited “if a physically-present attacker installs an affected boot policy.”
Happy patching!
Dịch: Lê Trung Nghĩa


Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.