Bản vá ngày thứ Ba tháng 7/2014 sửa 2 lỗi sống còn, 3 quan trọng và 1 vừa phải

Thứ năm - 10/07/2014 05:54

July 2014 Patch Tuesday fixes 2 critical, 3 important, 1 moderate flaws

NetworkWorld |Jul 8, 2014 11:22 AM

Theo: http://www.networkworld.com/article/2451606/microsoft-subnet/july-2014-patch-tuesday-fixes-2-critical-3-important-1-moderate-flaws.html

Bài được đưa lên Internet ngày: 08/07/2014

Lời người dịch: Bản vá ngày thứ Ba tháng 7/2014 bao gồm 2 lỗi sống còn là MS14-037 MS14-038; 3 lỗi quan trọng là MS14-039, MS14-040 MS14-041; một lỗi vừa phải là MS14-042. Ngoài ra còn 3 khuyến cáo an ninh được rà soát lại gồm: (1) Cập nhận để cải thiện Bảo vệ và Quản lý thông tin; (2) Bản cập nhật để vô hiệu hóa RC4 trong .NET TLS; (3) Khuyến cáo an ninh 2755801. Không có bản vá nào cho Windows XP. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ảnh: http://images.techhive.com/images/article/2014/07/microsoft-patch-deployment-schedule-for-july-2014-100355186-primary.idge.jpg

Microsoft đã phát hành 6 bản tin an ninh và đã rà soát lại 3 khuyến cáo về an ninh cho tháng 7/2014

Microsoft đã phát hành 6 bản tin an ninh để vá 29 CVE trong Windows và Internet Explorer (IE); 2 được xếp hạng sống còn, 3 quan trọng và 1 vừa phải. Dustin Childs của Microsoft khuyến cáo trước hết triển khai các vá lỗi an ninh cho Windows Journal (MS14-038) và IE (MS14-037).

Sống còn

Cả 2 bản vá được xếp hạng sống còn đều gần với các lỗ hổng Chạy Mã ở Xa - RCE (Remote Code Execution), nhưng không bị khai thác mà không có người sử dụng trợ giúp cho những kẻ tấn công bằng việc viếng thăm một website độc hại bị làm giả. “Không” là số lượng các cuộc tấn công tích cực mà Microsoft nói hãng hiện đang thấy cho 2 lỗ hổng này.

MS14-037 giải quyết một chỗ bị tổn thương bị phát hiện công khai và 23 chỗ bị tổn thương được nêu một cách riêng tư trong IE; nó được xếp hạng sống còn cho IE 6 - IE 11 trong các máy trạm Windows và được xếp hạng vừa phải cho IE 6 - IE 11 trong các máy chủ Windows. Microsoft một lần nữa thúc giục các khách hàng sử dụng IE 11, bổ sung thêm rằng “IE 11 an ninh hơn nhiều so với các phiên bản cũ hơn, điều giải thích vì sao chúng tôi khuyến cáo các khách hàng nâng cấp”.

MS14-038 làm việc với một chỗ bị tổn thương trong Windows Journal; bản vá gần với một lỗ hổng được nêu riêng tư trong tất cả các phiên bản Microsoft Windows, từ Vista tới Windows 8.1.

“Chỗ bị tổn thương sôngs còn này được mô tả trong MS14-038 là một ví dụ lớn về cách mà phần mềm được dùng không quen có thể là Journal, nó được cài đặt mặc định nhưng không được sử dụng phổ biến, có thể dẫn tới một sự thực thi mã tùy ý”. Ông bổ sung qua thư điện tử, “Thậm chí nếu Journal không được sử dụng trong tổ chức, thì nó là sống còn mà tất cả các hệ thống với Windows Journal được vá ngay lập tức khi chỗ bị tổn thương định dạng tệp này có thể bị khai thác với chỉ một sự xem qua tệp một cách đơn giản”.

Tuy nhiên Microsoft đã bổ sung, “Đáng lưu ý rằng các phiên bản Windows Server không được cài mặc định Windows Journal. Đó là theo thiết kế. Bạn sẽ luôn chịu ít rủi ro hơn khi bạn có ít ứng dụng hơn được cài đặt, nên các hệ thống máy chủ xuất xưởng với nhiều thành phần lựa chọn được vô hiệu hóa. Nếu bạn không rà soát lại các ứng dụng được cài đặt trên máy chủ của bạn gần đây, thì bây giờ là lúc tốt lành để làm thế. Việc giảm bề mặt các cuộc tấn công sẽ có ảnh hưởng tốt lên an ninh tổng thể của máy chủ”.

Quan trọng

3 bản vá được xếp hạng quan trọng thì tất cả đều làm việc với các chỗ bị tổn thương tiềm tàng sự leo thang các quyền ưu tiên - EoP (Elevation of Privilege).

MS14-039 giải quyết một lỗi được nêu riêng tư trong bàn phím trên màn hình của Microsoft ; tất cả các phiên bản được hỗ trợ của Windows, ngoại trừ Windows Server 2003, sẽ bị ảnh hưởng.

MS14-040 sửa chỗ bị tổn thương được nêu riêng tư trong Trình điều khiển Hàm Phụ thuộc - AFD (Ancillary Function Driver) ảnh hưởng tới tất cả các phiên bản Windows được hỗ trợ.

MS14-041 sửa một lỗi được nêu riêng tư trong DirectShow; “Chỗ bị tổn thương này có thể cho phép leo thang quyền ưu tiên nếu một kẻ tấn công trước hết khai thác chỗ bị tổn thương khác theo một qui trình toàn vẹn thấp và sau đó sử dụng chỗ bị tổn thương này để thực thi mã giả mạo đặc biệt theo ngữ cảnh của người sử dụng đã đăng nhập vào hệ thống”.

Vừa phải

MS14-042 là “lỗi kỳ lạ” sửa một chỗ bị tổn thương từ chối dịch vụ vừa phải trong Microsoft Service Bus cho Windows Server. “Chỗ bị tổn thương này có thể cho phép từ chối dịch vụ nếu một kẻ tấn công tạo và chạy một chương trình gửi một tuần tự các thông điệp được xác thực từ xa của Giao thức Hàng đợi - AMQP (Queuing Protocol) tới hệ thống đích. Microsoft Service Bus for Windows Server không được xuất xưởng cùng với bất kỳ hệ điều hành nào của Microsoft”. Ross Barrett, giám đốc cao cấp về kỹ thuật an ninh ở Rapid7, đã gợi ý, “Nếu bạn có thành phần này thì bạn sẽ có thể quan tâm để vá nó trước khi bọn trẻ bắt đầu đánh vào site của bạn”.

Microsoft đã rà soát lại 3 khuyến cáo an ninh

Cập nhận để cải thiện Bảo vệ và Quản lý thông tin:

Gói mới này thay đổi hành vi mặc định cho chế độ Restricted Admin (Quản trị Hạn chế) trong Windows 8.1 và Windows Server 2012 R2. Khuyến cáo này làm việc với các chiến lược khác nhau cho việc đấu tranh chống ăn cắp thông tin, nó là một chủ đề nóng hiện nay. Patrick Jungles (tác giả chính) và đội của ông có một sách trắng mới thảo luận các cách thức để bảo vệ chống lại các cuộc tấn công dạng vượt qua hàm băm (pass-the-hash), và có một tài nguyên web mới đề cập tới các kỹ thuật và chiến thuật khác nhau để giúp ngăn ngừa các dạng khác nhau đối với các cuộc tấn công ăn cắp thông tin truy cập. Việc triển khai các chiến thuật đó trước khi chúng trở nên cần thiết là một cách thức khác để gây ảnh hưởng tích cực tới toàn bộ bức tranh an ninh trong một doanh nghiệp.

Bản cập nhật để vô hiệu hóa RC4 trong .NET TLS từng “được rà soát lại để công bố một thay đổi dò tìm ra Microsoft Update Catalog cho các bản cập nhật đòi hỏi sự cài đặt bản cập nhật tiên quyết 2868725. Nếu bạn đã cài đặt thành công rồi bản cập nhật này, thì bạn không cần tiến hành hành động nào tiếp cả”.

Khuyến cáo an ninh 2755801 bây giờ có bản cập nhật mới nhất cho Adobe Flash Player trong Internet Explorer. Như được nhắc tới, nếu bạn chưa cập nhật Windows 8.1 hoặc Server 2012 R2 với bản vá cập nhật tất cả quan trọng của Microsoft, thì bạn phải làm thế cho tới 12/08. Nếu không, bạn sẽ không có khả năng nhận được các bản vá an ninh trong tương lai của Microsoft.

Gần 300 sách điện tử tự do của Microsoft

Cuối cùng, Microsoft đã đưa ra một đống các sách điện tử tự do, chúng đề cập tới Windows 8.1, Windows 8, Windows 7, Office 2013, Office 365, Office 2010, SharePoint 2013, Dynamics CRM, PowerShell, Exchange Server, Lync 2013, System Center, Azure, Cloud, SQL Server, và hơn thế nữa. Có 130 sách điện tử các loại của Microsoft trong phát hành đó, cộng với các cuốn khác trước đó được xuất bản đẩy tổng số sách lên tới gần 300.

Chúng bạn vá và đọc thành công!

Picture: http://images.techhive.com/images/article/2014/07/microsoft-patch-deployment-schedule-for-july-2014-100355186-primary.idge.jpg

Microsoft released six security bulletins and revised three security advisories for July 2014.

Microsoft released six security bulletins to patch 29 CVEs on Windows and Internet Explorer; two are rated critical, three are rated important and one is rated as moderate. Microsoft’s Dustin Childs recommends first deploying security fixes for Windows Journal (MS14-038) and Internet Explorer (MS14-037).

Critical

Both of the patches rated as critical are to close Remote Code Execution (RCE) holes, but neither can be exploited without a user helping attackers out by visiting a maliciously crafted website. “None” is the number of active attacks Microsoft said it is currently seeing for these two.

MS14-037 resolves one publicly disclosed vulnerability and 23 privately reported vulnerabilities in Internet Explorer; it’s rated critical for IE 6 – IE 11 on Windows clients and rated moderate for IE 6 – IE 11 on Windows servers. Microsoft again urged consumers to use IE 11, adding that “Internet Explorer 11 is much more secure than our older versions, which is why we encourage customers to upgrade.”

MS14-038 deals with a vulnerability in Windows Journal; the patch closes a privately reported hole in all supported versions of Microsoft Windows, from Vista to Windows 8.1.

"The critical vulnerability described in MS14-038 is a great example of how unused software can be abused by attackers," stated Craig Young, a security researcher at Tripwire. "In this case Windows Journal, which is installed by default but isn’t commonly used, can lead to arbitrary code execution." He added via email, “Even if Journal is not used in your organization, it is crucial that all systems with Windows Journal are patched immediately as this file-format vulnerability can be exploited with just a simple file preview.”

However Microsoft added, “It’s worth noting that Windows Server versions do not have Windows Journal installed by default. That’s by design. You are always at less risk when you have fewer applications installed, so server systems ship with many optional components disabled. If you haven’t reviewed the applications installed on your server recently, now is a good time to do so. Reducing the attack surface will have a positive impact on the overall security of the server.”

Important

The three patches rated important all deal with potential elevation of privilege (EoP) vulnerabilities.

MS14-039 resolves a privately reported bug in Microsoft's on-screen keyboard; all supported releases of Windows, except Windows Server 2003, are affected.

MS14-040 fixes on privately reported vulnerability in Ancillary Function Driver (AFD) that affects all supported versions of Windows.

MS14-041 fixes a one privately reported flaw in DirectShow; “The vulnerability could allow elevation of privilege if an attacker first exploits another vulnerability in a low integrity process and then uses this vulnerability to execute specially crafted code in the context of the logged on user.”

Moderate

MS14-042 is the “odd one” to fix a moderate denial of service vulnerability in Microsoft Service Bus for Windows Server. “The vulnerability could allow denial of service if a remote authenticated attacker creates and runs a program that sends a sequence of specially crafted Advanced Message Queuing Protocol (AMQP) messages to the target system. Microsoft Service Bus for Windows Server is not shipped with any Microsoft operating system.” Ross Barrett, senior manager of security engineering at Rapid7, suggested, “If you have this component you will probably care to patch this before script kids start knocking over your site.”

Microsoft revised 3 security advisories

Update to Improve Credentials Protection and Management:

This new package changes the default behavior for Restricted Admin mode on Windows 8.1 and Windows Server 2012 R2. This advisory deals with different strategies for combating credential theft, which is a hot topic today. Patrick Jungles (lead author) and team have a new whitepaper discussing ways to defend against pass-the-hash style attacks, and there is a new web resource that covers various techniques and tactics to help prevent different types of credential theft attacks. Implementing these tactics before they are needed is another way to positively impact the overall security posture in an enterprise.

The Update for Disabling RC4 in .NET TLS was “revised to announce a Microsoft Update Catalog detection change for the updates requiring installation of the 2868725 prerequisite update. If you have already successfully installed this update, then you don’t need to take any further action.”

Security Advisory 2755801 now has the latest update for Adobe Flash Player in Internet Explorer.

As a reminder, if you have not updated Windows 8.1 or Server 2012 R2 with Microsoft’s all-important Update patch, you have until August 12 to do so. Otherwise, you will not be able to receive future Microsoft security patches.

Nearly 300 free Microsoft ebooks

Lastly, Microsoft released a plethora of free ebooks, which cover Windows 8.1, Windows 8, Windows 7, Office 2013, Office 365, Office 2010, SharePoint 2013, Dynamics CRM, PowerShell, Exchange Server, Lync 2013, System Center, Azure, Cloud, SQL Server, and more. There are 130 Microsoft-flavored ebooks in that release, plus others previously released pushing the total offerings to nearly 300.

Happy patching and reading!

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Về Blog này

Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...

Bài đọc nhiều nhất trong năm
Thăm dò ý kiến

Bạn quan tâm gì nhất ở mã nguồn mở?

Thống kê truy cập
  • Đang truy cập89
  • Máy chủ tìm kiếm10
  • Khách viếng thăm79
  • Hôm nay4,797
  • Tháng hiện tại620,344
  • Tổng lượt truy cập37,421,918
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây