Microsoft Patch Tuesday – January 2015
Created: 13 Jan 2015 20:57:06 GMT • Updated: 14 Jan 2015 00:46:14 GMT
Bài được đưa lên Internet ngày: 13-14/01/2015
Lời người dịch: Bản vá ngày thứ Ba tháng 01/2015 có 8 bản tin, trong đó có 1 bản tin (bản vá) được xếp hạng sống còn, 7 bản tin (bản vá) còn lại được xếp hạng quan trọng. Bản vá sống còn duy nhất lần này dành cho chỗ bị tổn thương trong Windows Telnet Service (MS15-002) có thể gây ra sự thực thi mã ở xa (3020393). Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.
Xin chào, chào mừng tới blog tháng này về phát hành bản vá của Microsoft. Tháng này nhà bán hàng đang phát hành 8 bản tin đề cập tổng cộng 8 chỗ bị tổn thương. Một trong số đó được xếp hạng “Sống còn”.
Như thường lệ, các khách hàng được khuyến cáo tuân theo các thực tiễn tốt nhất về an toàn sau:
-
Cài đặt bản vá của nhà bán hàng càng sớm càng tốt ngay khi chúng sẵn sàng.
-
Chạy tất cả các phần mềm với các quyền ưu tiên ít nhất được yêu cầu khi vẫn duy trì được chức năng.
-
Tránh xử lý các tệp từ các nguồn không rõ hoặc đáng nghi.
-
Không bao giờ viếng thăm các site có tính toàn vẹ không rõ hoặc đáng nghi.
-
Khóa truy cập bên ngoài trong khuôn viên mạng đối với tất cả các hệ thống khóa trừ phi truy cập đặc biệt được yêu cầu.
Tóm tắt của Microsoft các phát hành tháng 1 có thể thấy tại:
Sau đây là chi tiết các vấn đề đang được giải quyết trong tháng này:
-
MS15-001 Chỗ bị tổn thương trong Windows AppCompatCache có thể cho phép leo thang quyền ưu tiên (3023266)
Chỗ bị tổn thương leo thang quyền ưu tiên tồn tại theo cách mà Hạ tầng Tương thích Ứng dụng Windows của Microsoft (AppCompat) kiểm tra không đúng sự thủ vai của người gọi ủy quyền của token để viết vào bộ nhớ tạm AppCompat. Một kẻ tấn công có thể có ý định khác thác chỗ bị tổn thương này bằng việc chèn một khoản vào bộ nhớ tạm AppCompat mà trỏ tới ứng dụng được trao quyền ưu tiên mà chúng muốn thực thi.
-
MS15-002 Chỗ bị tổn thương trong Windows Telnet Service có thể gây ra sự thực thi mã ở xa (3020393)
Chỗ bị tổn thương tràn bộ nhớ có thể cho phép thực thi mã ở xa tồn tại trong dịch vụ Telnet của Windows. Chỗ bị tổn thương đó xảy ra khi dịch vụ telnet kiểm tra hợp lệ không đúng vị trí bộ nhớ. Một kẻ tấn công mà đã khai thác thành công chỗ bị tổn thương này có thể chạy mã tùy ý trong một máy chủ đích. Một kẻ tấn công có thể cố khai thác chỗ bị tổn thương này bằng việc gửi các gói telnet làm giả đặc biệt tới một máy chủ Windows.
-
MS15-003 Chỗ bị tổn thương trong dịch vụ hồ sơ người sử dụng Windows cho phép leo thang quyền ưu tiên (3021674)
Chỗ bị tổn thương leo thang quyền ưu tiên tồn tại trong cách mà dịch vụ hồ sơ người sử dụng Windows (ProfSvc) kiểm tra hợp lệ quyền ưu tiên của người sử dụng. Một kẻ tấn công cục bộ đa khai thác thành công chỗ bị tổn thương này có thể chạy mã tùy ý trong một hệ thống đích.
-
MS15-004 Chỗ bị tổn thương trong các thành phần Windows có thể cho phép leo thang quyền ưu tiên (3025421)
Chỗ bị tổn thương leo thang quyền ưu tiên tồn tại trong các thành phần Windows. Chỗ bị tổn thương này gây ra khi Windows không làm vệ sinh đúng phù hợp các đường dẫn tệp. Một kẻ tấn công đã khai thác thành công chỗ bị tổn thương này có thể giành được các quyền người sử dụng y hệt như người sử dụng hiện hành.
-
MS15-005 Chỗ bị tổn thương trong NLA có thể cho phép vượt qua tính năng an toàn (3022777)
Chỗ bị tổn thương vượt qua tính năng an toàn tồn tại trong dịch vụ Nhận thức Vị trí Mạng - NLA (Network Location Awareness) có thể cho thả lỏng không cố ý chính sách và/hoặc cấu hình tường lửa của các dịch vụ nhất định. Điều này có thể làm gia tăng bề mặt bị phơi lộ cho kẻ tấn công. Chỗ bị tổn thương này xảy ra khi dịch vụ NLA không kiểm tra hợp lệ đúng phù hợp nếu một máy có kết nối miền được kết nối tới miền hoặc một mạng không tin cậy.
-
MS15-006 Chỗ bị tổn thương trong WER có thể cho phép vượt qua tính năng an toàn (3004365)
Chỗ bị tổn thương vượt qua tính năng an toàn tồn tại trong ngữ cảnh người sử dụng hiện hành là nguyên nhân Báo cáo Lỗi Windows xử trí không đúng sự truy cập tới bộ nhớ tiến trình mà có thể cho phép một kẻ tấn công tạo ra sự hỏng bộ nhớ không được mã hóa của tiến trình LSASS. Một kẻ tấn công đã khai thác thành công chỗ bị tổn thương này có thể đọc bộ nhớ của tiến trình đang chạy mà có thể bình thường không sẵn sàng. Một kẻ tấn công có thể sử dụng một tệp thực thi để làm hỏng bộ nhớ khỏi tiến trình đang chạy.
-
MS15-007 Chỗ bị tổn thương trong Dịch vụ Chính sách Mạng RADIUS có thể gây ra từ chối dịch vụ (3014029)
Chỗ bị tổn thương từ chối dịch vụ tồn tại trong dịch vụ chính sách mạng RADIUS. Một kẻ tấn công không được ủy quyền đã khai thác thành công chỗ bị tổn thương này có thể gửi các chuỗi tên người sử dụng bị làm giả đặc biệt tới một dịch vụ xác thực Internet - IAS (Internet Authentication Service) hoặc máy chủ chính sách mạng - NPS (Network Policy Server), gây ra một điều kiện từ chối dịch vụ cho xác thực RADIUS trong IAS hoặc NPS. Chỗ bị tổn thương từ chối dịch vụ đó có thể không cho phép một kẻ tấn công thực thi mã hoặc leo thang quyền ưu tiên; tuy nhiên, nó có thể ngăn chặn xác thực RADIUS trong IAS hoặc NPS. Một kẻ tấn công đa thành công khai thác chỗ bị tổn thương này có thể gây ra cho hệ thống đích dừng trả lời.
-
MS15-008 Chỗ bị tổn thương trong các trình điều khiển chế độ nhân Windows cho thể cho phép leo thang quyền ưu tiên (3019215)
Chỗ bị tổn thương leo thang quyền ưu tiên tồn tại trong trình điều khiển chế độ nhân của WebDAV (mrxdav.sys) khi nó không kiểm tra hợp lệ đúng phù hợp và ép các mức thủ vai. Một kẻ tấn công đã khai thác thành công chỗ bị tổn thương này có thể vượt qua an toàn mức thủ vai và giành được các quyền ưu tiên được leo thang trong một hệ thống đích, điều có thể cho phép chúng can thiệp các yêu cầu tệp của WebDAV từ bất kỳ máy chủ nào (bao gồm cả các site SharePoint của tập đoàn) và tái định tuyến các yêu cầu tệp đó để trả về bất kỳ tệp tiềm năng độc hại nào mà kẻ tấn công chọn.
Nhiều thông tin hơn về các chỗ bị tổn thương đang được giải quyết tháng này là sẵn sàng trên cổng
SecurityFocus tự do của Symantec và cho các khách hàng của chúng ta qua Hệ thống Quản lý các Mối đe dọa Thấm sâu (DeepSight Threat Management System).
Hello, welcome to this month's blog on the Microsoft patch release. This month the vendor is releasing eight bulletins covering a total of 8 vulnerabilities. One of this month's issues is rated ’Critical’.
As always, customers are advised to follow these security best practices:
-
Install vendor patches as soon as they are available.
-
Run all software with the least privileges required while still maintaining functionality.
-
Avoid handling files from unknown or questionable sources.
-
Never visit sites of unknown or questionable integrity.
-
Block external access at the network perimeter to all key systems unless specific access is required.
Microsoft's summary of the January releases can be found here:
The following is a breakdown of the issues being addressed this month:
-
MS15-001 Vulnerability in Windows AppCompatCache Could Allow Elevation of Privilege (3023266)
An elevation of privilege vulnerability exists in how Microsoft Windows Application Compatibility Infrastructure (AppCompat) improperly checks the caller's impersonation token authorization to write to the AppCompat cache. An attacker could attempt to exploit this vulnerability by inserting an entry into the AppCompat cache that points to a privileged application they want to execute.
-
MS15-002 Vulnerability in Windows Telnet Service Could Cause Remote Code Execution (3020393)
A buffer overflow vulnerability that could allow a remote code execution exists in Windows Telnet service. The vulnerability is caused when telnet service improperly validates the memory location. An attacker who successfully exploited this vulnerability could run arbitrary code on a target server. An attacker could attempt to exploit this vulnerability by sending specially crafted telnet packets to a Windows server.
-
MS15-003 Vulnerability in Windows User Profile Service Could Allow Elevation of Privilege (3021674)
An elevation of privilege vulnerability exists in how the Windows User Profile Service (ProfSvc) validates user privilege. A local attacker who successfully exploited this vulnerability could run arbitrary code on a target system.
-
MS15-004 Vulnerability in Windows Components Could Allow Elevation of Privilege (3025421)
An elevation of privilege vulnerability exists in Windows Components. The vulnerability is caused when Windows fails to properly sanitize file paths. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user.
-
MS15-005 Vulnerability in NLA Could Allow Security Feature Bypass (3022777)
A security feature bypass vulnerability exists in the Network Location Awareness (NLA) service that could unintentionally relax the firewall policy and/or configuration of certain services. This could increase the surface exposed to an attacker. The vulnerability is caused when the NLA service fails to properly validate if a domain-connected machine is connected to the domain or to an untrusted network.
-
MS15-006 Vulnerability in WER Could Allow Security Feature Bypass (3004365)
A security feature bypass vulnerability exists in the context of the current user that is caused when Windows Error Reporting incorrectly handles access to process memory that could allow an attacker to create unencrypted memory dumps of the LSASS process. An attacker who successfully exploited this vulnerability could read the memory of a running process that would normally be unavailable. An attacker could use an executable to dump memory from a running process.
-
MS15-007 Vulnerability in Network Policy Server RADIUS Could Cause Denial of Service (3014029)
A denial of service vulnerability exists in Network Policy Server RADIUS. An unauthenticated attacker who successfully exploited this vulnerability could send specially crafted user name strings to an Internet Authentication Service (IAS) or Network Policy Server (NPS), causing a denial of service condition for RADIUS authentication on the IAS or NPS. The denial of service vulnerability would not allow an attacker to execute code or to elevate user rights; however, it could prevent RADIUS authentication on the IAS or NPS. An attacker who successfully exploited the vulnerability could cause the target system to stop responding.
-
MS15-008 Vulnerabilities in Windows Kernel Mode Drivers Could Allow Elevation of Privilege (3019215)
An elevation of privilege vulnerability exists in the WebDAV kernel-mode driver (mrxdav.sys) when it fails to properly validate and enforce impersonation levels. An attacker who successfully exploited this vulnerability could bypass impersonation level security and gain elevated privileges on a targeted system, which could allow them to intercept WebDAV requests for files from any server (including corporate SharePoint sites) and redirect those file requests to return any, potentially malicious, files of the attacker's choosing.
More information on the vulnerabilities being addressed this month is available at Symantec's free SecurityFocus portal and to our customers through the DeepSight Threat Management System. Dịch: Lê Trung Nghĩa