Microsoft's December Patch Tuesday will fix bugs in Internet Explorer, Office and Windows
Không ở đâu tháng cuối cùng là lớn đến thế
Nowhere near as big as last month's
By Lee Bell, Fri Dec 05 2014, 14:55
Bài được đưa lên Internet ngày: 05/12/2014
Lời người dịch: Dự kiến Bản vá ngày thứ Ba tháng 12/2014 sẽ có 7 bản tin, trong số đó có 3 được xếp hạng 'sống còn' và 4 được xếp hạng 'quan trọng' - bao trùm Internet Explorer (IE), Office, Exchange và Windows. Nếu tất cả 7 bản vá sẽ được đưa ra đúng theo kế hoạch, thì tổng số các bản vá trong năm 2014 sẽ là 84. Không có bản vá nào dành cho Windows XP!. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer và Windows. Nguy hiểm: Microsoft làm việc với FBI để phá an ninh Internet và Tòa án Liên bang Mỹ ra lệnh cho Microsoft phải trao các thư điện tử được lưu trữ trên các máy chủ ở nước ngoài cho các nhà chức trách Mỹ. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
MICROSOFT SẼ ĐƯA RA Bản vá ngày thứ Ba cuối cùng của năm 2014 vào tuần sau, một bản tin an toàn Thông báo Trước cho Tháng 12 (Advance Notification for the December) đã khẳng định.
Bản vá này sẽ được đưa ra vào 1 giờ chiều ngày 09/12, sẽ gồm 7 bản tin - 3 'sống còn' và 4 'quan trọng' - bao trùm Internet Explorer (IE), Office, Exchange và Windows. Nếu tất cả 7 bản vá sẽ được đưa ra đúng theo kế hoạch, thì tổng số các bản vá trong năm 2014 sẽ là 84.
Bản cập nhật cũng sẽ có nghĩa là đây là lần thứ 11 trong năm nay IE sẽ được vá vì các chỗ bị tổn thương về an toàn.
“Dường như là nhiều chỗ yếu đó đang bị phát hiện qua các kỹ thuật 'mờ' tự động, chúng có thể thường gây ra nhiều sự phát hiện chỗ bị tổn thương”, lãnh đạo tri thức về các mối đe dọa của hãng an toàn Trustwave, Karl Sigler, nói.
“Vài trong số các CVE được đưa vào trong bản tin này là 'Sống còn' và nghiêm trọng nhất có khả năng sẽ là các chỗ bị tổn thương làm hỏng bộ nhớ”.
Sigler nói những người sử dụng IE sẽ “tuyệt đối muốn vá các chỗ bị tổn thương đó” càng sớm càng tốt, dù không trong số các CVE nào được đưa vào trong phát hành đó hiện đang bị khai thác nhiều.
Trong khi sự phát hành không động chạm tới bất kỳ điều gì tệ hại như chỗ bị tổn thương Thực thi Mã Ở xa của Schannel (MS14-066) từ tháng trước, thì điều này không có nghĩa là bản cập nhật sẽ bị bỏ qua hoặc chậm trễ.
Người phát ngôn của Malwarebytes đã khuyến cáo: “Thực tế là 3 bản tin 'sống còn' ảnh hưởng tới IE, Office và Windows nhấn mạnh thực tế này, khi mà chúng có khả năng nhất cho phép thực thi mã ở xa”.
“Mọi người nên tuân theo khuyến cáo của Microsoft và áp dụng các bản cập nhật đó ngay lập tức”.
Bản vá ngày thứ Ba tháng 11 của Microsoft từng lớn hơn nhiều và đã sửa tổng số 33 lỗi khắp tất cả các phiên bản của Windows. Bản vá đó bao gồm 4 bản tin được xếp hạng 'sống còn', 8 được xếp hạng 'quan trọng' và 2 được xếp hạng 'vừa phải'.
Trong số các bản tin sống còn từng có MS14-065, nó đã vá 17 chỗ bị tổn thương trong tất cả các phiên bản IE. Nghiêm trọng nhất trong số chúng có thể cho phép thực thi mã ở xa nếu một người sử dụng xem một trang web bị vọc đặc biệt bằng việc sử dụng IE.
MICROSOFT WILL RELEASE its last Patch Tuesday of 2014 next week, an Advance Notification for the December security bulletin has confirmed.
The patch, which will go live at 1pm on 9 December, will consist of seven bulletins – three 'critical' and four 'important' – covering Internet Explorer (IE), Office, Exchange and Windows. If all seven are released as planned, the total number of patches in 2014 will be 84.
The update will also mean it is the eleventh time this year that IE will be patched for security vulnerabilities.
"It appears that many of these weaknesses are being discovered through automatic 'fuzzing' techniques, which can often result in multiple vulnerability discoveries," said security firm Trustwave's threat intelligence manager, Karl Sigler.
"Several of the CVEs included in this bulletin are 'Critical' and the most severe are likely to be memory corruption vulnerabilities."
Sigler said IE users will "absolutely want to patch these vulnerabilities" as soon as possible, although none of the CVEs included in the release is currently being exploited in the wild.
While the release doesn't tackle anything as nasty as the Schannel Remote Code Execution vulnerability (MS14-066) from last month, this doesn't mean the update should be skipped or delayed, though.
A Malwarebytes spokesperson advised: "The fact that the three 'critical' bulletins affect IE, Office and Windows underlines this fact, as these are most likely to allow for remote code execution.
"People should follow Microsoft's advice and apply these updates immediately."
Microsoft's November Patch Tuesday was much bigger and fixed a total 33 bugs across all versions of Windows. The patch included four bulletins rated 'critical', eight rated 'important' and two rated 'moderate'.
Among the critical bulletins was MS14-065, which patched 17 vulnerabilities in all supported versions of Internet Explorer (IE). The most severe of these could allow remote code execution if a user views a specially crafted webpage using IE.
Dịch: Lê Trung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...