Bản vá ngày thứ Ba: Microsoft xuất bản 12 bản tin, 8 sống còn

Patch Tuesday: Microsoft publishes 12 bulletins, 8 critical

Teri Robinson, Associate Editor

December 08, 2015

Theo: http://www.scmagazine.com/patch-tuesday-microsoft-publishes-12-bulletins-8-critical/article/458580/

Bài được đưa lên Internet ngày: 08/12/2015

Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.

Sau một năm đã thấy 135 bản tin từ Microsoft, người khổng lồ công nghệ đã phát hành 12 bản tin, 8 trong số đó là sống còn, trong Bản vá ngày thứ Ba cuối cùng của năm 2015.

Một trong những bản tin giải quyết chỗ bị tổn thương ngày số 0 mà đang được những kẻ tấn công sử dụng “để leo thang quyền ưu tiên” trong Windows, Wolfgang Kandek, CTO ở Qualys, nói hôm thứ ba trong bài viết trên blog.

Gọi phiên bản đó là “về trung bình, với có lẽ một chút khắt khe hơn” so với điển hình, Kandek đã lưu ý rằng Microsoft đã không cung cấp thông tin bổ sung về MS15-135, nó đã được tung ra cho ngày số 0 được thấy trong nhân Windows, nhưng độ nghiêm trọng của nó đã trao cho nó chỗ hàng đầu trong danh sách ưu tiên của Qualys.

Chris Goettl, giám đốc sản phẩm với Shvlik, đã đồng ý, lưu ý rằng Microsoft chỉ xếp hạng chỗ bị tổn thương như là quan trọng nhưng nó nên được đối xử như là ưu tiên cao. “Một kẻ tấn công mà thành công khai thác chỗ bị tổn thương này có thể chạy mã tùy ý trong chế độ nhân”, ông nói trong bình luận được gửi bằng thư điện tử cho SCMagazine.com. “Thời điểm này, chúng có thẻ cài đặt các chương trình, xem, thay đổi hoặc xóa các dữ liệu hoặc tạo ra các tài khoản mới với các quyền đầy đủ của người sử dụng”.

Như với các bản cập nhật nhân, “thông qua việc kiểm thử là được khuyến cáo cao”, ông nói.

3 trong số các bản cập nhật được nhằm vào các trình duyệt (MS15-124 - Internet Explorer, MS15-125 - Edge và MS15-126 - các thư viện Javascript trong Vista và Windows Server 2008), và giải quyết ấn tượng 30 vấn đề, vài trong số đó Kandek nói từng là “sống còn hàng đầu với sự lựa chọn mã từ ở xa (RCE).”

Microsoft Office cũng từng nằm trong tâm điểm - với MS115-131 được chốt bởi công ty công nghệ như là sống còn, “hiếm,” theo Kandek. Ông nói “rằng một vector tồn tại để lạm dụng chỗ bị tổn thương không có sự tương tác của người sử dụng”. Bản tin đó có mục tiêu trong chỗ bị tổn thương sôgns còn của Outlook CVE-2015-6172 “được làm bật dậy bởi thông điệp thư điện tử có định dạng độc hại”, Kandek nói. Ông đã khuyến cáo vá chỗ bị tổn thương này nhanh vì không có sự khắc phục hợp lý nào tồn tại và Microsoft khuyến cáo tắt khung nhìn trước (preview), điều Kandek nói là “tương đương số với 'Đừng có làm nó'”.

Các chỗ bị tổn thương sống còn khác bao gồm vấn đề điều khiển phông chữ trong hệ thống Windows Graphics, được đề cập tới với MS15-128, và trong Silverlight và Uniscribe, được đề cập tới với MS15-129 và MS15-130, một cách tương ứng.

“MS15-128 và MS15-129 là một trình nhắc nhở bề mặt tấn công rộng được phơi ra của Silverlight,” Craig Young, nhà nghiên cứu về an ninh không gian mạng cho Tripwire, nói trong các bình luận bằng thư điện tử cho SCMagazine.com. “Với quảng cáo độc hại đang gia tăng, thậm chí các site có uy tín không thể luôn được giả thiết miễn nhiễm với nội dung độc hại nên việc vá các lỗ hổng đó nên là ưu tiên rất cao, cùng với các bản tin về IE và Edge”. Ông đã khuyến cáo rằng vài nhà quản trị cân nhắc tiến hành bước tiếp sử dụng “công nghệ khóa quảng cáo trên các máy trạm của tập đoàn”.

After a year that saw 135 bulletins from Microsoft, the tech giant released 12 bulletins, eight of them critical, in the Final Patch Tuesday of 2015.

One of the bulletins addresses a zero-day vulnerability that is being used by attackers “to escalate privilege” in Windows, Wolfgang Kandek, CTO at Qualys, said in a Tuesday blog post.

Calling the release “about average, with maybe a bit more severity” than is typical, Kandek noted that Microsoft didn't provide additional information on MS15-135, which was released for the zero day found in the Windows kernel, but its severity gave it a top berth on the priority list of Qualys.

Chris Goettl, product manager with Shavlik, agreed, noting that Microsoft only rated the vulnerability as important but it should be treated as high-priority. “An attacker who successfully exploits this vulnerability could run arbitrary code in kernel mode,” he said in comments emailed to SCMagazine.com. “At that point, they could install programs, view, change or delete data or create new accounts with full user rights."

As with kernel updates, “thorough testing is highly recommended,” he said.

Three of the updates are aimed at browsers (MS15-124 - Internet Explorer, MS15-125 - Edge and MS15-126 - Javascript libraries in Vista and Windows Server 2008), and address an impressive 30 issues, some of which Kandek said were “critical leading to remote code election (RCE).”

Microsoft Office was also in the crosshairs – with MS115-131 pegged by the tech company as critical, “rare,” according to Kandek. He said “that a vector exists to abuse the vulnerability with no user interaction.” The bulletin takes aim at critical Outlook vulnerability CVE-2015-6172 “triggered by maliciously formatted e-mail message,” Kandek said. He recommended patching the vulnerability quickly because no reasonable workaround exists and Microsoft recommends turning off the preview pane, which Kandek said is “the digital equivalent of ‘Just don't do it.'”

Other critical vulnerabilities include a font handling issue in Windows Graphics system, addressed by MS15-128, and in Silverlight and Uniscribe, addressed by MS15-129 and MS15-130, respectively.

“MS15-128 and MS15-129 are a reminder of the wide attack surface exposed by Silverlight,” Craig Young, cybersecurity researcher for Tripwire, said in comments emailed to SCMagazine.com. “With malvertising on the rise, even reputable sites cannot always be assumed free from malicious content so patching these holes should be very high priority, along with the IE and Edge bulletins.” He advised that some administrators consider taking the further step of using "ad-blocking technology on corporate workstations.”

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com