Microsoft patches 2 critical, 7 important flaws on August 2014 'Update Tuesday'
Microsoft đã phát hành 9 bản cập nhật an ninh để giải quyết 37 Chỗ bị tổn thương & Phơi lộ Phổ biến trong SQL Server, OneNote, SharePoint, .NET, Windows và Internet Explorer.
Microsoft released nine security updates to resolve 37 Common Vulnerabilities & Exposures in SQL Server, OneNote, SharePoint, .NET, Windows and Internet Explorer.
NetworkWorld |Aug 12, 2014 11:28 AM
Bài được đưa lên Internet ngày: 12/08/2014
Lời người dịch: Bản vá ngày thứ Ba, ra ngày thứ Ba, 12/08/2014, gồm 9 bản cập nhật an ninh để giải quyết 37 Chỗ bị tổn thương & Phơi lộ Phổ biến trong SQL Server, OneNote, SharePoint, .NET, Windows và Internet Explorer. Trong đó, 2 bản vá sống còn là MS14-051 cho trình duyệt Internet Explorer (IE) và MS14-043 cho Windows Media Center. Còn lại là 7 bản vá Quan trọng, gồm: MS14-048, MS14-045, MS14-046, MS14-047, MS14-044, MS14-049 và MS14-050. Không có bản vá nào cho Windows XP!. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer và Windows. Nguy hiểm: Microsoft làm việc với FBI để phá an ninh Internet. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
Microsoft đã phát hành 9 bản vá an ninh hôm nay, nhưng “Bản vá ngày thứ Ba” hình như quá kỳ quặc đối với một cụm từ và sẽ không nhiều hơn, theo Brandon LeBlanc của Microsoft. Vẫn là ngày thứ Ba tuần thứ 2 của mỗi tháng, nhưng nó được đổi tên thành “Bản cập nhật ngày thứ Ba” nên Microsoft có thể phân phối các bản vá an ninh cùng với các tính năng mới của hệ điều hành.
“Thay vì chờ nhiều tháng và đánh đống cùng một đống các cải tiến thành một bản cập nhật lớn hơn như chúng tôi từng làm cho Bản cập nhật của Windows 8.1, các khách hàng có thể kỳ vọng chúng tôi sẽ sử dụng qui trình cập nhật hàng tháng đang tồn tại rồi của chúng tôi để phân phối thường xuyên hơn các cải tiến cùng với các bản cập nhật an ninh thường được cung cấp như một phần của 'Bản vá ngày thứ Ba'”. Ô, và bạn cũng có thể quên về Bản cập nhật 2 (Update 2) cho Windows 8.1 như LeBlanc đã nói nó sẽ không được phát hành.
Các bản vá sống còn
MS14-051 sẽ đứng đầu danh sách của bạn về triển khai, vì nó được xếp hạng sống còn cho tất cả các phiên bản Internet Explorer (IE) được hỗ trợ hiện hành. Bản vá này giải quyết một chỗ bị tổn thương được tiết lộ công khai và 25 chỗ bị tổn thương được báo cáo riêng trong IE. Chỗ bị tổn thương nghiêm trọng nhất có thể cho phép thực thi mã ở xa (RCE) nếu một kẻ tấn công làm cho người sử dụng viếng thăm một site độc hại được làm giả.
MS14-043 là một sửa lỗi chỗ bị tổn thương RCE khác, nhưng cho Windows Media Center lần này. “Chỗ bị tổn thương này có thể cho phép thực thi mã ở xa nếu một người sử dụng mở một tệp Microsoft Office bị làm giả đặc biệt mà gọi tới các tài nguyên của Windows Media Center”.
Các bản vá quan trọng
Dù được xếp hạng là “quan trọng”, Microsoft đã khuyến cáo sửa lỗi RCE này cũng nằm ở ưu tiên hàng đầu để triển khai. MS14-048 sửa một lỗi báo cáo riêng trong Microsoft OneNote.
2 ưu tiên triển khai bắt đầu bằng MS14-045, nó vá 3 lỗi báo cáo riêng, bao gồm một chỗ bị tổn thương leo thang quyền ưu tiên (EoP), trong các trình điều khiển chế độ của nhân Microsoft Windows.
MS14-046 vá một chỗ bị tổn thương được báo cáo riêng trong Microsoft .NET Framework. “Chỗ bị tổn thương này có thể cho phép tính năng an ninh vượt qua nếu một người sử dụng viếng thăm một website bị làm giả đặc biệt. Trong một kịch bản tấn công duyệt web, một kẻ tấn công đã khai thác thành công chỗ bị tổn thương này có thể vượt qua được tính năng an ninh Ngẫu nhiên Hình thức Không gian Địa chỉ - ASLR (Address Space Layout Randomization), nó giúp bảo vệ người sử dụng khỏi một lớp rộng các chỗ bị tổn thương”.
MS14-047 là sửa khác cho lỗi vượt qua tính năng an ninh trong Windows. “Chỗ bị tổn thương có thể cho phép tính năng an ninh vượt qua nếu một kẻ tấn công sử dụng chỗ bị tổn thương đó có kết hợp với chỗ bị tổn thương khác, như chỗ bị tổn thương thực thi mã ở xa, nó tận dụng ưu thế vượt qua ASLR để chạy mã bất kỳ theo ý muốn”.
Microsoft gọi ý triển khai 3 bản vá sau sau cùng.
MS14-044 đóng lại 2 lỗ hông trong Microsoft SQL Server. Chỗ bị tổn thương nghiêm trọng hơn trong SQL Server Master Data Services có thể cho phép một kẻ tấn công leo thang các quyền ưu tiên “nếu một người sử dụng viếng thăm một website được làm giả một cách đặc biệt mà tiêm một script ở phía máy trạm vào một cài đặt của người sử dụng IE”.
MS14-049 vá chỗ bị tổn thương EoP khác, nhưng trong Windows Installer Service lần này. “Chỗ bị tổn thương này có thể cho phép leo thang quyền ưu tiên nếu một kẻ tấn công chạy một ứng dụng bị làm giả đặc biệt mà cố sửa một ứng dụng được cài đặt trước đó. Một kẻ tấn công phải có thông tin đăng nhập hợp lệ và có khả năng đăng nhập cục bộ để khai thác chỗ bị tổn thương này”.
MS14-050 sửa một lỗi trong Microsoft SharePoint Server. “Một kẻ tấn công có xác thực đã khai thác thành công chỗ bị tổn thương này có thể sử dụng một ứng dụng được làm giả đặc biệt để chạy JavaScript tùy ý theo ngữ cảnh của người sử dụng ở site SharePoint hiện hành”.
Nếu bạn vẫn sử dụng Internet Explorer 8, thì điều đó sẽ thay đổi sau ngày 12/01/2016, như Microsoft đã nói, “Chỉ phiên bản gần đây nhất của IE sẵn sàng cho một hệ điều hành được hỗ trợ sẽ nhận được hỗ trợ kỹ thuật và các bản cập nhật an ninh”. Bắt đầu từ 12/01/2016, đây là những gì Microsoft sẽ hỗ trợ: Windows Vista SP2 và IE 9; Windows Server 2008 SP2 và IE 9; Windows 7 SP1 và IE 11; Windows Server 2008 R2 SP1 và IE 11; Windows 8.1 và IE 11; Windows Server 2012 và IE 10; và Windows Server 2012 R2 và IE 11.
Cuối cùng, để phân phối một trình duyệt an ninh hơn, IE Blog đã nói, “Bắt đầu từ ngày 09/09, Internet Explorer sẽ khóa các kiểm soát ActiveX lỗi thời”.
Đó là tất cả cho tới nay. Chúc vá hạnh phúc!
Microsoft released nine security patches today, but “Patch Tuesday” is apparently too quaint of a phrase and will be no more, according to Microsoft’s Brandon LeBlanc. It’s still on the second Tuesday of each month, but it’s been renamed “Update Tuesday” so Microsoft can deliver security patches along with new OS features.
"Rather than waiting for months and bundling together a bunch of improvements into a larger update as we did for the Windows 8.1 Update, customers can expect that we'll use our already existing monthly update process to deliver more frequent improvements along with the security updates normally provided as part of 'Update Tuesday’.” Oh, and you can also forget about Windows 8.1 Update 2 as LeBlanc said it’s not being released.
Patches rated Critical
MS14-051 should be top on your list for deployment, as it is rated critical for all currently supported versions of Internet Explorer. The patch resolves one publicly disclosed and 25 privately reported vulnerabilities in IE. The most severe vulnerability could allow remote code execution (RCE) if an attacker were to get a user to visit a maliciously crafted site.
MS14-043 is another RCE vulnerability fix, but for Windows Media Center this time. “The vulnerability could allow remote code execution if a user opens a specially crafted Microsoft Office file that invokes Windows Media Center resources.”
Patches rated Important
Although rated as “important,” Microsoft advised this RCE bug fix to also be a top priority for deployment. MS14-048 fixes a privately report flaw in Microsoft OneNote.
Deployment priority two starts with MS14-045, which patches three privately report bugs, including an elevation of privilege (EoP) vulnerability, in Microsoft Windows kernel-mode drivers.
MS14-046 patches one privately reported vulnerability in Microsoft .NET Framework. “The vulnerability could allow security feature bypass if a user visits a specially crafted website. In a web-browsing attack scenario, an attacker who successfully exploited this vulnerability could bypass the Address Space Layout Randomization (ASLR) security feature, which helps protect users from a broad class of vulnerabilities.”
MS14-047 is another fix for a security feature bypass flaw in Windows. “The vulnerability could allow security feature bypass if an attacker uses the vulnerability in conjunction with another vulnerability, such as a remote code execution vulnerability, that takes advantage of the ASLR bypass to run arbitrary code.”
Microsoft suggested deploying the next three patches last.
MS14-044 close two holes in Microsoft SQL Server. The more severe vulnerability in SQL Server Master Data Services could allow an attacker to elevate privileges “if a user visits a specially crafter website that injects a client-side script into the user’s instance of IE."
MS14-049 patches another EoP vulnerability, but in Windows Installer Service this time. “The vulnerability could allow elevation of privilege if an attacker runs a specially crafted application that attempts to repair a previously-installed application. An attacker must have valid logon credentials and be able to log on locally to exploit this vulnerability.”
MS14-050 fixes a flaw in Microsoft SharePoint Server. “An authenticated attacker who successfully exploited this vulnerability could use a specially crafted app to run arbitrary JavaScript in the context of the user on the current SharePoint site.”
If you still use Internet Explorer 8, that should change after January 12, 2016, as Microsoft said, “Only the most recent version of Internet Explorer available for a supported operating system will receive technical support and security updates.” Beginning January 12, 2016, here's what Microsoft will support: Windows Vista SP2 and IE 9; Windows Server 2008 SP2 and IE 9; Windows 7 SP1 and IE 11; Windows Server 2008 R2 SP1 and IE 11; Windows 8.1 and IE 11; Windows Server 2012 and IE 10; and Windows Server 2012 R2 and IE 11.
Lastly, in order to deliver a more secure browser, the IE Blog said, “Starting September 9th, Internet Explorer will block out-of-date ActiveX controls.”
That's it for now. Happy patching!
Dịch: Lê Trung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...