Microsoft vá Office, SharePoint and Windows, bỏ lại sau Windows XP

Microsoft patches Office, SharePoint and Windows, leaves XP behind

Tóm tắt: Vài chỗ bị tổn thương cho Windows, vài lỗi sống còn, chúng chắc chắn ảnh hưởng tới Windows XP, không được vá ở đó. Office 2003 cũng không được vá cho các lỗi ít khắc nghiệt hơn. 3 chỗ bị tổn thương mới ngày số 0 được tiết lộ.

Summary: Several vulnerabilities for Windows, some critical, which certainly affect Windows XP, not patched there. Office 2003 also unpatched for less-severe bugs. Three new zero-day vulnerabilities are revealed.

By Larry Seltzer for Zero Day | May 13, 2014 -- 18:00 GMT (02:00 SGT)

Theo: http://www.zdnet.com/microsoft-patches-office-sharepoint-and-windows-leaves-xp-behind-7000029405/

Bài được đưa lên Internet ngày: 13/05/2014

Lời người dịch: “Tóm tắt: Vài chỗ bị tổn thương cho Windows, vài lỗi sống còn, chúng chắc chắn ảnh hưởng tới Windows XP, không được vá ở đó. Office 2003 cũng không được vá cho các lỗi ít khắc nghiệt hơn. 3 chỗ bị tổn thương mới ngày số 0 được tiết lộ”. Bạn có thể biết rõ từng trong số 8 bản vá lỗi trong Bản vá ngày thứ Ba tháng 5/2014 trong bài này. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer.

Microsoft đã phát hành 8 bản cập nhật an ninh ngày hôm nay, đề cập tới tổng cộng 14 chỗ bị tổn thương trong Windows, Office và SharePoint Server. 3 bản cập nhật đang bị khai thác rồi một cách bùng nổ.

Đây là Bản vá ngày thứ Ba đầu tiên kể từ khi kết thúc hỗ trợ cho Windows XP và Office 2003. Dù vậy Microsoft đã cung cấp một bản cập nhật một tuần trước cho tất cả các phiên bản Windows, kể cảo Windows XP, thì lần này họ đã tuân thủ chính sách và đã không phát hành các bản cập nhật cho Windows XP thậm chí một trong số các bản cập nhất được vá hôm nay là sống còn và có khả năng ảnh hưởng tới Windows XP.

Ít nổi tiếng hơn là Microsoft Office 2003 cũng đã ra khỏi giai đoạn hỗ trợ trong tháng 4. Có 2 bản cập nhật cho Microsoft Office, nhưng không có bản nào cho Office 2003 mà dường như sẽ bị ảnh hưởng ít nhất vì một trong các chỗ bị tổn thương không sống còn được sửa trong các bản cập nhật cho các phiên bản sau.

Thậm chí ít nổi tiếng hơn là Microsoft SharePoint Portal Server 2003 cũng đã kết thúc giai đoạn hỗ trợ vào tháng trước. 3 chỗ bị tổn thương sống còn trong SharePoint Server các phiên bản 2007, 2010 và 2013, Office Web Apps, SharePoint Designer và SharePoint Server 2013 Client Components SDK đã được vá hôm nay, nhưng không có bản vá nào đã được phát hành cho sản phẩm năm 2003.

3 trong số các chỗ bị tổn thương đưa ra bên dưới ngày hôm nay đang bị khai thác bùng phát. Chỗ bị tổn thương thứ 4 đã được tiết lộ công khai rồi. Khắc nghiệt nhất, MS14-029, hầu như chắc chắn ảnh hưởng tới Windows XP, đang bị khai thác bùng phát, và không được vá trong Windows XP.

1. MS14-029: Cập nhật An ninh cho Internet Explorer - IE (2962482) - Đây là lỗi sống còn nhất trong số các bản cập nhật sống còn ngày hôm nay. Tất cả các phiên bản Internet Explorer được hỗ trợ trong tất cả các phiên bản được hỗ trợ của Windows (điều này không còn có trong Windows XP nữa) là có khả năng bị tổn thương cho 2 chỗ bị tổn thương hỏng bộ nhớ có thể gây ra trong một sự thực thi mã ở xa. Microsoft nói họ nhận thức được về các cuộc tấn công có giới hạn mà cố khai thác một trong những chỗ bị tổn thương trong Internet Explorer.

2. MS14-022: Tất cả các phiên bản được hỗ trợ của SharePoint Server, bao gồm 2007, 2010 và 2013, cũng như Office Web Apps, SharePoint Designer và SharePoint Server 2013 Client Components SDK có khả năng bị tổn thương đối với một chỗ bị tổn thương thự thi mã ở xa sống còn. Chỗ tổn thương thứ 2 scripting chéo các site (XSS) chỉ ảnh hưởng đến SharePoint Server 2013, Office Web Apps 2013 và SharePoint Server 2013 Client Components SDK. Một chỗ bị tổn thương thực thi mã ở xa sống còn cuối cùng ("Web Applications Page Content Vulnerability") chỉ ảnh hưởng tới Office Web Apps 2010. Microsoft coi nó có lẽ không rằng việc vận hành mã khai thác sẽ được viết cho chỗ bị tổn thương cuối cùng này. Không có cách nào để biết, liệu những thứ đó có ảnh hưởng tới SharePoint 2003 không.

3. MS14-024: Chỗ bị tổn thương trong Microsoft Common Control Could Allow Security Feature Bypass (2961033) — Một chỗ bị tổn thương trong thư viện các kiêmr soát chung MSCOMCTL có thể cho phép một website độc hại bỏ qua ASLR (Address Space Layout Randomization). Microsoft nói họ "... nhận thức được về các cuộc tấn công có giới hạn, có chủ đích mà cố khai thác chỗ bị tổn thương này". Thư viện này đi với Microsoft Office và tất cả các phiên bản xuất xưởng được liệt kê như là có khả năng bị tổn thương, nhưng nó có khả năng bị khai thác thông qua Internet Explorer. Lưu ý: Office 2003 có có thể bị tổn thương đối với lỗi này, nhưng không có bản cập nhật được liệt kê lần này.

4. MS14-023: Các chỗ bị tổn thương trong Microsoft Office Could Allow Remote Code Execution (2961037) — Các công cụ kiểm tra trong Microsoft Office 2007 và 2010 và trong một số phiên bản của 2013, bao gồm cả các phiên bản RT, có khả năng bị tổn thương đối với một lỗi theo cách Office kiểm tra ngữ pháp tiếng Trung Quốc, đặc biệt theo cách mà nó tải một DLL đặc biệt. Bằng việc đặt một DLL độc hại với một cái tên đặc biệt trong thư mực mạng đặc biệt, một kẻ tấn công có thể làm cho những người sử dụng tải lên mã tấn công. Chỗ bị tổn thương thứ 2, ảnh hưởng tới các phiên bản nhất định của Office 2013, có thể cho phép người vận hành một site độc hại có được các thẻ token truy cập từ Office mà có thể được sử dụng cho người sử dụng đó ở đâu đó khác nữa. Microsoft coi nó có lẽ không rằng việc vận hành mã khai thác sẽ được viết cho chỗ bị tổn thương cuối cùng này.

5. MS14-025: Chỗ bị tổn thương trong Group Policy Preferences Could Allow Elevation of Privilege (2962486) — Một chỗ bị tổn thương leo thang quyền ưu tiên tồn tại theo cách rằng Active Directory phân phối các mật khẩu được thiết lập cấu hình bằng việc sử dụng các quyền ưu tiên của Group Policy. Một kẻ tấn công có xác thực đã khai thác thành công chỗ bị tổn thương này có thể giải mã các mật khẩu và sử dụng chúng để leo thang các quyền ưu tiên trong miền đó. Theo Microsoft, chỗ bị tổn thương này đã được tiết lộ công khai rồi.

6. MS14-026: Chỗ bị tổn thương trong .NET Framework có thể cho phép leo thang các quyền ưu tiên (2958732) — Gần như mọi phiên bản của Windows bị tổn thương đối với một chỗ bị tổn thương leo thang quyền ưu tiên theo cách mà khung .NET điều khiển các kiểm soát TypeFilterLevel cho một số đối tượng được tạo nên không đúng.

7. MS14-027: Tất cả các phiên bản của Windows bị tổn thương đối với chỗ bị tổn thương leo thang quyền ưu tiên khi Windows Shell điều khiển không đúng các liên quan tệp. Một kẻ tấn công thành công có thể chạy mã theo ngữ cảnh máy cục bộ LocalSystem. Microsoft nói họ nhận thức được về các cuộc tấn công có giới hạn mà cố khai thác chỗ bị tổn thương này.

8. MS14-028: Chỗ bị tổn thương trong Windows Shell Handler có thể cho phép leo thang quyền ưu tiên (2962488) — Các phiên bản máy chủ của Windows bị tổn thương đối với 2 chỗ bị tổn thương từ chối dịch vụ theo cách Windows điều khiển các gói iSCSI. Nhưng Microsoft nói rằng chúng có khả năng gây ra việc vận hành mã khai thác.

Microsoft issued eight security updates today addressing a total of 14 vulnerabilities in Windows, Office and SharePoint Server. Three are already being exploited in the wild.

This is the first Patch Tuesday since the end of support for Windows XP and Office 2003. Even though Microsoft provided an update one week ago for all Windows versions, including Windows XP, this time they followed through on policy and did not release updates for Windows XP even though one of the updates patched today is critical and likely affects Windows XP.

Less well-known is that Microsoft Office 2003 also exited its support period in April. There are two updates to Microsoft Office, but none for Office 2003 which appears to be affected by at least one of the non-critical vulnerabilities fixed in the updates to later versions.

Even less well-known is that Microsoft SharePoint Portal Server 2003 also entered its end of support period last month. Three critical vulnerabilities in SharePoint Server versions 2007, 2010 and 2013, Office Web Apps, SharePoint Designer and SharePoint Server 2013 Client Components SDK were patched today, but no patches were issued for the 2003 product.

Three of the vulnerabilities below disclosed today are being exploited in the wild. A fourth had already been publicly disclosed. The most severe, MS14-029, almost certainly affects Windows XP, is being exploited in the wild, and is not patched on Windows XP.

• MS14-029: Security Update for Internet Explorer (2962482) — This is the most critical of today's critical updates. All supported versions of Internet Explorer on all supported versions of Windows (this no longer includes Windows XP) are vulnerable to two memory corruption vulnerabilities which could result in remote code execution. Microsoft says they are aware of limited attacks that attempt to exploit one of the vulnerabilities in Internet Explorer.

• MS14-022: — All supported versions of SharePoint Server, including 2007, 2010 and 2013, as well as Office Web Apps, SharePoint Designer and SharePoint Server 2013 Client Components SDK are vulnerable to a critical remote code execution vulnerability. A second cross-site scripting (XSS) vulnerability affects only SharePoint Server 2013, Office Web Apps 2013 and the SharePoint Server 2013 Client Components SDK. A final critical remote code execution vulnerability ("Web Applications Page Content Vulnerability") affects only Office Web Apps 2010. Microsoft considers it unlikely that functioning exploit code will be written for this last vulnerability. There is no way of knowing which, if any of these might have affected SharePoint 2003.

• MS14-024: Vulnerability in a Microsoft Common Control Could Allow Security Feature Bypass (2961033) — A vulnerability in the MSCOMCTL common controls library could allow a malicious web site to bypass ASLR (Address Space Layout Randomization). Microsoft says they are "...aware of limited, targeted attacks that attempt to exploit this vulnerability." The library comes with Microsoft Office and all shipping versions are listed as vulnerable, but it is likely to be exploited through Internet Explorer. Note: Office 2003 may well be vulnerable to this bug, but it is not listed as being updated.

• MS14-023: Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (2961037) — The proofing tools in Microsoft Office 2007 and 2010 and in some editions of 2013, including the RT versions, are vulnerable to a bug in the way Office checks Chinese grammar, specifically in how it loads a particular DLL. By putting a malicious DLL with a particular name in a particular network directory, an attacker could get users to load attack code. A second vulnerability, affecting certain versions of Office 2013, could allow the operator of a malicious site to obtain access tokens from Office which could be used for the user elsewhere. Microsoft considers it unlikely that functioning exploit code will be written for this last vulnerability.

• MS14-025: Vulnerability in Group Policy Preferences Could Allow Elevation of Privilege (2962486) — A privilege escalation vulnerability exists in the way that Active Directory distributes passwords that are configured using Group Policy preferences. An authenticated attacker who successfully exploited the vulnerability could decrypt the passwords and use them to elevate privileges on the domain. According to Microsoft, this vulnerability was already publicly disclosed.

• MS14-026: Vulnerability in .NET Framework Could Allow Elevation of Privilege (2958732) — Nearly every version of Windows is vulnerable to an elevation of privilege vulnerability in the way that .NET Framework handles TypeFilterLevel checks for some malformed objects.

• MS14-027: — All versions of Windows are vulnerable to an elevation of privilege vulnerability when the Windows Shell improperly handles file associations. A successful attacker could run code in the LocalSystem context. Microsoft says they are aware of limited attacks that attempt to exploit this vulnerability.

• MS14-028: Vulnerability in Windows Shell Handler Could Allow Elevation of Privilege (2962488) — Server versions of Windows are vulnerable to two denial of service vulnerabilities in the way Windows handles iSCSI packets. But Microsoft says that neither is likely to result in functioning exploit code.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com