WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
[Update] Microsoft phát hành 14 bản vá bảo mật cho Windows
Cập nhật ngày 13/11/2014: Trong số các lỗ hổng được vá có một lỗ hồng bảo mật đã tồn tại từ Windows 95, cách đây hơn 19 năm, nhưng mới được phát hiện ra hồi đầu 2014. Bằng cách lừa người dùng truy cập vào một đường link qua trình duyệt Internet Explorer, hacker có thể chạy (execute) các đoạn mã từ xa trên PC của nạn nhân. Chỉ cần người dùng sử dụng trình duyệt từ Internet Explorer 3.0 trở lên, là họ sẽ có nguy cơ bị hacker lợi dụng.
Thứ 3 vừa qua, Microsoft vừa công bố 14 bản vá bảo mật cho Windows, vá 33 lỗ hổng phần mềm. Trong số này, 4 bản vá được xếp mức “nghiêm trọng”, 8 ở mức “quan trọng” và 2 mức “trung bình”. Đây là các bản vá dành cho lỗi trên Windows, Internet Explorer, Office, .NET Framework và SharePoint Server.
Đáng chú ý nhất là MS14-064 khắc phục 2 lỗi trên Microsoft Windows Object Linking và Embedding (OLE) – hiện một lỗi hiện vẫn chưa được vá hoàn toàn, CVE-2014-6352 là lỗ hổng đã bị nhóm hacker Nga có tên Sandworm khai thác.
Trong bản tin cập nhật an ninh tháng 10, lỗi CVE-2014-6352 (sau được đổi thành CVE-2014-4114) đã được vá, nhưng chỉ 1 tuần sau đó, các nhà nghiên cứu cảnh báo lỗ hổng zero-day này vẫn có thể bị hacker khai thác. Phía Microsoft đã phản hồi bằng giải pháp vá tạm thời có tên “OLE packager Shim Workaround”, tuy nhiên trong bản tin an ninh tháng 11, lỗi này vẫn chưa có bản vá chính thức.
Ba bản vá được xếp mức nghiêm trọng còn lại dành cho IE (MS14-065) vá lỗ hổng chèn mã thực thi từ xa (RCE) trong Microsoft Secure Channel (Schannel), và sửa lỗi trong Microsoft XML Core Services (MSXML), lỗi cho phép chèn mã thực thi từ xa. 8 bản vá ở mức “quan trọng” dành cho các lỗ hổng trong Windows, .NET Framework và SharePoint Server cho phép leo thang đặc quyền, các lỗi Office cho phép chèn mã thực thi từ xa và các tính năng an ninh trong Windows có thể dẫn tới việc vượt qua lớp bảo vệ để đánh cắp thông tin.
Hai bản vá lỗi ở mức độ "trung bình" của Microsoft dành cho một lỗ hổng trong phiên bản tiếng Nhật của Input Method Editor (IME) cho phép nâng quyền, cùng lỗ hổng trong Windows kernel mode driver cho phép từ chối dịch vụ.
Tuần trước Microsoft cho hay có kế hoạch công bố 16 bản vá lỗ hổng. Tuy nhiên 2 bản vá còn thiếu gồm MS14-068 và MS14-075 đã được liệt kê trong tổng hợp tin an ninh của hãng vào tháng này,nhưng không chỉ rõ chính xác ngày nào cập nhật bản vá sẽ được cập nhật.
Thứ 3 vừa qua, Microsoft vừa công bố 14 bản vá bảo mật cho Windows, vá 33 lỗ hổng phần mềm. Trong số này, 4 bản vá được xếp mức “nghiêm trọng”, 8 ở mức “quan trọng” và 2 mức “trung bình”. Đây là các bản vá dành cho lỗi trên Windows, Internet Explorer, Office, .NET Framework và SharePoint Server.
Đáng chú ý nhất là MS14-064 khắc phục 2 lỗi trên Microsoft Windows Object Linking và Embedding (OLE) – hiện một lỗi hiện vẫn chưa được vá hoàn toàn, CVE-2014-6352 là lỗ hổng đã bị nhóm hacker Nga có tên Sandworm khai thác.
Trong bản tin cập nhật an ninh tháng 10, lỗi CVE-2014-6352 (sau được đổi thành CVE-2014-4114) đã được vá, nhưng chỉ 1 tuần sau đó, các nhà nghiên cứu cảnh báo lỗ hổng zero-day này vẫn có thể bị hacker khai thác. Phía Microsoft đã phản hồi bằng giải pháp vá tạm thời có tên “OLE packager Shim Workaround”, tuy nhiên trong bản tin an ninh tháng 11, lỗi này vẫn chưa có bản vá chính thức.
Ba bản vá được xếp mức nghiêm trọng còn lại dành cho IE (MS14-065) vá lỗ hổng chèn mã thực thi từ xa (RCE) trong Microsoft Secure Channel (Schannel), và sửa lỗi trong Microsoft XML Core Services (MSXML), lỗi cho phép chèn mã thực thi từ xa. 8 bản vá ở mức “quan trọng” dành cho các lỗ hổng trong Windows, .NET Framework và SharePoint Server cho phép leo thang đặc quyền, các lỗi Office cho phép chèn mã thực thi từ xa và các tính năng an ninh trong Windows có thể dẫn tới việc vượt qua lớp bảo vệ để đánh cắp thông tin.
Hai bản vá lỗi ở mức độ "trung bình" của Microsoft dành cho một lỗ hổng trong phiên bản tiếng Nhật của Input Method Editor (IME) cho phép nâng quyền, cùng lỗ hổng trong Windows kernel mode driver cho phép từ chối dịch vụ.
Tuần trước Microsoft cho hay có kế hoạch công bố 16 bản vá lỗ hổng. Tuy nhiên 2 bản vá còn thiếu gồm MS14-068 và MS14-075 đã được liệt kê trong tổng hợp tin an ninh của hãng vào tháng này,nhưng không chỉ rõ chính xác ngày nào cập nhật bản vá sẽ được cập nhật.
Nguồn: SCMagazine
Chỉnh sửa lần cuối bởi người điều hành: