WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Microsoft vá lỗ hổng nghiêm trọng trong Internet Explorer, Edge
Trong bản cập nhật an ninh hàng tháng hôm thứ Ba, Microsoft phát hành 11 bản tin an ninh giải quyết nhiều lỗ hổng trong Internet Explorer, Edge, Office, JScript và VBScript, và .NET Framework.
Bản tin an ninh MS16-084 vá 15 lỗi trong Internet Explorer (IE), hầu hết đều nghiêm trọng, có khả năng bị khai thác trong thực tế. Các lỗ hổng gồm nhiều lỗi bộ nhớ trong ứng dụng, cùng lỗi vượt qua biện pháp an ninh của trình duyệt IE, lỗi tiết lộ thông tin, và các lỗi giả mạo trình duyệt.
Bản tin an ninh MS16-085 liệt kê 13 lỗi an ninh trong Edge, cũng được đánh giá nghiêm trọng, hầu hết cũng có khả năng bị khai thác trong thực tế. Các lỗi chủ yếu là lỗi bộ nhớ công cụ lập trình, lỗi tiết lộ thông tin cũng như các lỗi tiết lộ thông tin và giả mạo trình duyệt.
Các lỗ hổng nghiêm trọng nhất trong IE và Edge có thể cho phép kẻ tấn công thực thi mã từ xa trên một hệ thống bị ảnh hưởng nếu người dùng truy cập một trang web tự tạo bằng trình duyệt. Khai thác thành công lỗ hổng này, kẻ tấn công sẽ lấy được quyền sử dụng giống như người dùng hiện tại và có thể cài đặt các chương trình; xem, thay đổi, hoặc xóa dữ liệu; hoặc tạo tài khoản mới với quyền sử dụng đầy đủ.
Microsoft cũng vá một lỗi thực thi mã từ xa (CVE-2016-3238) và lỗi leo thang đặc quyền trong Windows Print Spooler (CVE-2016-3239). Hãng cũng công bố một bản tin riêng (MS16-086) cho các lỗi bộ nhớ công cụ lập trình trong JScript và VBScript (CVE-2016-3204), ảnh hưởng tới Internet Explorer.
Microsoft Office có 7 lỗ hổng được vá trong bản tin an ninh MS16-088. Một lỗi thực thi mã từ xa (CVE-2016-3279) có thể bị khai thác khi người dùng mở một tập tin tự tạo, 6 lỗi còn lại là lỗi bộ nhớ, riêng lỗi (CVE-2016-3281) có khả năng bị khai thác.
Các bản cập nhật an ninh cũng giải quyết lỗ hổng tiết lộ thông tin trong Windows Secure Kernel, .NET Framework, và Windows Kernel-Mode Drivers, 5 lỗi leo thang đặc quyền trong Windows Kernel-Mode Drivers, lỗi vượt qua tính năng an ninh trong Secure Boot và Windows File System, và một lỗi tiết lộ thông tin trong Windows Kernel.
Trong bản cập nhật của tháng, Microsoft cũng bổ sung một bản tin (MS16-093) chi tiết các bản vá lỗi mà Adobe đã phát hành cho Flash Player, ảnh hưởng đến tất cả người dùng Windows, cũng như người dùng Mac, Linux, và ChromeOS.
Theo SecurityWeek
Bản tin an ninh MS16-084 vá 15 lỗi trong Internet Explorer (IE), hầu hết đều nghiêm trọng, có khả năng bị khai thác trong thực tế. Các lỗ hổng gồm nhiều lỗi bộ nhớ trong ứng dụng, cùng lỗi vượt qua biện pháp an ninh của trình duyệt IE, lỗi tiết lộ thông tin, và các lỗi giả mạo trình duyệt.
Bản tin an ninh MS16-085 liệt kê 13 lỗi an ninh trong Edge, cũng được đánh giá nghiêm trọng, hầu hết cũng có khả năng bị khai thác trong thực tế. Các lỗi chủ yếu là lỗi bộ nhớ công cụ lập trình, lỗi tiết lộ thông tin cũng như các lỗi tiết lộ thông tin và giả mạo trình duyệt.
Các lỗ hổng nghiêm trọng nhất trong IE và Edge có thể cho phép kẻ tấn công thực thi mã từ xa trên một hệ thống bị ảnh hưởng nếu người dùng truy cập một trang web tự tạo bằng trình duyệt. Khai thác thành công lỗ hổng này, kẻ tấn công sẽ lấy được quyền sử dụng giống như người dùng hiện tại và có thể cài đặt các chương trình; xem, thay đổi, hoặc xóa dữ liệu; hoặc tạo tài khoản mới với quyền sử dụng đầy đủ.
Microsoft cũng vá một lỗi thực thi mã từ xa (CVE-2016-3238) và lỗi leo thang đặc quyền trong Windows Print Spooler (CVE-2016-3239). Hãng cũng công bố một bản tin riêng (MS16-086) cho các lỗi bộ nhớ công cụ lập trình trong JScript và VBScript (CVE-2016-3204), ảnh hưởng tới Internet Explorer.
Microsoft Office có 7 lỗ hổng được vá trong bản tin an ninh MS16-088. Một lỗi thực thi mã từ xa (CVE-2016-3279) có thể bị khai thác khi người dùng mở một tập tin tự tạo, 6 lỗi còn lại là lỗi bộ nhớ, riêng lỗi (CVE-2016-3281) có khả năng bị khai thác.
Các bản cập nhật an ninh cũng giải quyết lỗ hổng tiết lộ thông tin trong Windows Secure Kernel, .NET Framework, và Windows Kernel-Mode Drivers, 5 lỗi leo thang đặc quyền trong Windows Kernel-Mode Drivers, lỗi vượt qua tính năng an ninh trong Secure Boot và Windows File System, và một lỗi tiết lộ thông tin trong Windows Kernel.
Trong bản cập nhật của tháng, Microsoft cũng bổ sung một bản tin (MS16-093) chi tiết các bản vá lỗi mà Adobe đã phát hành cho Flash Player, ảnh hưởng đến tất cả người dùng Windows, cũng như người dùng Mac, Linux, và ChromeOS.
Theo SecurityWeek