WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
[Update] Microsoft phát hành lại bản cập nhật an ninh do Outlook bị crash
[Cập nhật 13/11/2015] Microsoft đã phát hành lại một bản cập nhật an ninh trong Patch Tuesday tháng 11 của mình sau khi nhiều khách hàng phàn nàn rằng bản cập nhật đó làm Outlook bị crash.
Người dùng Windows đã phàn nàn trên diễn đàn hỗ trợ của Microsoft và nhiều nơi khác rằng Outlook 2010 và 2013 bị crash khi xem các email HTML. Các chuyên gia nhận định rằng thủ phạm là bản cập nhật KB3097877 trên Windows 7 và trong một số trường hợp có thể là bản cập nhật KB3105213 (cập nhật thêm) trên Windows 10.
KB3097877 là một phần trong bản cập nhật quan trọng MS15-115 của Microsoft, giải quyết bảy lỗ hổng trên Windows cho phép thực thi mã từ xa và vượt qua các cơ chế an ninh. Microsoft đã cập nhật phiên bản này vào cuối ngày thứ tư vừa qua để giải quyết vấn đề gây crash trên Outlook.
Microsoft khuyến cáo khách hàng cập nhật lại bản 3097877 nhằm giải quyết vấn đề gây crash khi sử dụng outlook để xem một số email nhất định.
---------------------------------------------------------------------
Ngày 10/11, Microsoft tung 12 bản cập nhật an ninh cho Patch Tuesday tháng 11, gồm 4 gói cập nhật quan trọng, tất cả đều có thể dẫn đến thực thi mã từ xa.
Gói cập nhật lần này khắc phục các lỗi của Windows, Lync, .NET và phiên bản Skype dành cho doanh nghiệp, nhưng có hai bản sửa lỗi quan trọng ảnh hưởng đến trình duyệt Internet Explorer và Edge của Windows.
Bản vá an ninh cho Internet Explorer được đánh dấu quan trọng cho người dùng từ IE 7 đến IE 11 và khắc phục 25 lỗ hổng khác nhau trong trình duyệt, chủ yếu là các lỗi sai lệch bộ nhớ có thể dẫn đến việc thực thi mã. Giả sử, kẻ tấn công có thể dụ dỗ người dùng xem một trang web giả mạo, chúng có thể khai thác các lỗ hổng này và có được những đặc quyền tương tự người dùng.
Bên cạnh lỗi sai lệch bộ nhớ, ba vấn đề khác, gồm một lỗ hổng gây rò rỉ thông tin, lỗ hổng vượt qua cơ chế ASLR, và một lỗi sai lệch bộ nhớ trong Jscript và Vbscipt, cũng đã được khắc phục.
Bản cập nhật cho trình duyệt mới của Microsoft - Microsoft Edge - chỉ khắc phục 4 lỗi, ít hơn bản cập nhật cho trình duyệt IE rất nhiều, nhưng vẫn được đánh dấu quan trọng cho người dùng Windows 10. Cũng giống như các cập nhật cho IE, bản cập nhật cho Edge khắc phục lỗ hổng sai lệch bộ nhớ và lỗ hổng vượt qua ASLR có thể cho phép kẻ tấn công có được những đặc quyền của người dùng.
Theo như dự kiến, Microsoft sẽ đưa ra bản cập nhật mùa thu – Fall Update, bản cập nhật tính năng đầu tiên cho Windows 10 vào 12/11, nghĩa là một số người dùng có thể phải chờ thêm hai ngày để nhận được toàn bộ cập nhật cho Microsoft Edge.
Theo Wolfgang Kandek của Qualys, một bản vá an ninh quan trọng khác là MS15-115 nên là ưu tiên cập nhật số 1 của người sử dụng. Bản cập nhật này tối ưu cách Windows xử lý các đối tượng trong bộ nhớ, cách các hệ thống phông chữ phụ, thư viện Adobe Type Manager trong Windows xử lý các phông chữ nhúng được tích hợp sẵn, và cách Windows Kernel xác nhận các quyền truy cập nhất định cho người dùng và các chương trình khác. Bản cập nhật này cũng khắc phục 7 lỗ hổng cho phép kẻ tấn công thực thi mã từ xa nếu chúng có thể lừa người dùng mở một tài liệu hoặc truy cập một trang mạng có chứa các phông chữ nhúng.
“Hai trong số 7 lỗ hổng tồn tại trong hệ thống phông chữ phụ đều có thể khai thác từ xa thông qua trình duyệt web và e-mail và ảnh hưởng đến tất cả các phiên bản của Windows, bao gồm Windows 10 và Windows RT”, Kandek cho biết.
Bản cập nhật quan trọng cuối cùng giải quyết lỗi tràn bộ đệm trong Windows Journal, một ứng dụng ghi chú trên Vista và Windows 7. Trên lý thuyết, nếu kẻ tấn công lừa được người dùng mở một tập tin Journal độc hại trên phiên bản bị ảnh hưởng, chúng có thể thực thi các đoạn mã tùy ý.
Phần còn lại của bản vá an ninh có thể không được đánh dấu quan trọng, nhưng các chuyên gia cho rằng chúng vẫn xứng đáng nhận được sự chú ý của người dùng.
Jon Rudolph, kĩ sư lập trình chính của Core Security nhấn mạnh rằng bản sửa lỗi liên quan đến ba lỗ hổng theo thang đặc quyền trong NDIS, .NET, và Winsock xứng đáng được đánh dấu "quan trọng" và đáng được quan tâm.
Các bản sửa lỗi khác trong tháng này bao gồm một bản cập nhật cho Schannel để ngăn chặn giả mạo thông tin trong các cuộc tấn công man-in-the-middle, một bản cập nhật cho Kerberos để ngăn chặn việc vượt qua cơ chế và hai bản cập nhật cho phiên bản Skype dành cho Doanh Nghiệp và Lync nhằm ngăn cản người dùng mở các thông điệp JavaScript độc hại.
Theo Threatpost, Securityweek
Người dùng Windows đã phàn nàn trên diễn đàn hỗ trợ của Microsoft và nhiều nơi khác rằng Outlook 2010 và 2013 bị crash khi xem các email HTML. Các chuyên gia nhận định rằng thủ phạm là bản cập nhật KB3097877 trên Windows 7 và trong một số trường hợp có thể là bản cập nhật KB3105213 (cập nhật thêm) trên Windows 10.
KB3097877 là một phần trong bản cập nhật quan trọng MS15-115 của Microsoft, giải quyết bảy lỗ hổng trên Windows cho phép thực thi mã từ xa và vượt qua các cơ chế an ninh. Microsoft đã cập nhật phiên bản này vào cuối ngày thứ tư vừa qua để giải quyết vấn đề gây crash trên Outlook.
Microsoft khuyến cáo khách hàng cập nhật lại bản 3097877 nhằm giải quyết vấn đề gây crash khi sử dụng outlook để xem một số email nhất định.
---------------------------------------------------------------------
Ngày 10/11, Microsoft tung 12 bản cập nhật an ninh cho Patch Tuesday tháng 11, gồm 4 gói cập nhật quan trọng, tất cả đều có thể dẫn đến thực thi mã từ xa.
Gói cập nhật lần này khắc phục các lỗi của Windows, Lync, .NET và phiên bản Skype dành cho doanh nghiệp, nhưng có hai bản sửa lỗi quan trọng ảnh hưởng đến trình duyệt Internet Explorer và Edge của Windows.
Bản vá an ninh cho Internet Explorer được đánh dấu quan trọng cho người dùng từ IE 7 đến IE 11 và khắc phục 25 lỗ hổng khác nhau trong trình duyệt, chủ yếu là các lỗi sai lệch bộ nhớ có thể dẫn đến việc thực thi mã. Giả sử, kẻ tấn công có thể dụ dỗ người dùng xem một trang web giả mạo, chúng có thể khai thác các lỗ hổng này và có được những đặc quyền tương tự người dùng.
Bên cạnh lỗi sai lệch bộ nhớ, ba vấn đề khác, gồm một lỗ hổng gây rò rỉ thông tin, lỗ hổng vượt qua cơ chế ASLR, và một lỗi sai lệch bộ nhớ trong Jscript và Vbscipt, cũng đã được khắc phục.
Bản cập nhật cho trình duyệt mới của Microsoft - Microsoft Edge - chỉ khắc phục 4 lỗi, ít hơn bản cập nhật cho trình duyệt IE rất nhiều, nhưng vẫn được đánh dấu quan trọng cho người dùng Windows 10. Cũng giống như các cập nhật cho IE, bản cập nhật cho Edge khắc phục lỗ hổng sai lệch bộ nhớ và lỗ hổng vượt qua ASLR có thể cho phép kẻ tấn công có được những đặc quyền của người dùng.
Theo như dự kiến, Microsoft sẽ đưa ra bản cập nhật mùa thu – Fall Update, bản cập nhật tính năng đầu tiên cho Windows 10 vào 12/11, nghĩa là một số người dùng có thể phải chờ thêm hai ngày để nhận được toàn bộ cập nhật cho Microsoft Edge.
Theo Wolfgang Kandek của Qualys, một bản vá an ninh quan trọng khác là MS15-115 nên là ưu tiên cập nhật số 1 của người sử dụng. Bản cập nhật này tối ưu cách Windows xử lý các đối tượng trong bộ nhớ, cách các hệ thống phông chữ phụ, thư viện Adobe Type Manager trong Windows xử lý các phông chữ nhúng được tích hợp sẵn, và cách Windows Kernel xác nhận các quyền truy cập nhất định cho người dùng và các chương trình khác. Bản cập nhật này cũng khắc phục 7 lỗ hổng cho phép kẻ tấn công thực thi mã từ xa nếu chúng có thể lừa người dùng mở một tài liệu hoặc truy cập một trang mạng có chứa các phông chữ nhúng.
“Hai trong số 7 lỗ hổng tồn tại trong hệ thống phông chữ phụ đều có thể khai thác từ xa thông qua trình duyệt web và e-mail và ảnh hưởng đến tất cả các phiên bản của Windows, bao gồm Windows 10 và Windows RT”, Kandek cho biết.
Bản cập nhật quan trọng cuối cùng giải quyết lỗi tràn bộ đệm trong Windows Journal, một ứng dụng ghi chú trên Vista và Windows 7. Trên lý thuyết, nếu kẻ tấn công lừa được người dùng mở một tập tin Journal độc hại trên phiên bản bị ảnh hưởng, chúng có thể thực thi các đoạn mã tùy ý.
Phần còn lại của bản vá an ninh có thể không được đánh dấu quan trọng, nhưng các chuyên gia cho rằng chúng vẫn xứng đáng nhận được sự chú ý của người dùng.
Jon Rudolph, kĩ sư lập trình chính của Core Security nhấn mạnh rằng bản sửa lỗi liên quan đến ba lỗ hổng theo thang đặc quyền trong NDIS, .NET, và Winsock xứng đáng được đánh dấu "quan trọng" và đáng được quan tâm.
Các bản sửa lỗi khác trong tháng này bao gồm một bản cập nhật cho Schannel để ngăn chặn giả mạo thông tin trong các cuộc tấn công man-in-the-middle, một bản cập nhật cho Kerberos để ngăn chặn việc vượt qua cơ chế và hai bản cập nhật cho phiên bản Skype dành cho Doanh Nghiệp và Lync nhằm ngăn cản người dùng mở các thông điệp JavaScript độc hại.
Theo Threatpost, Securityweek
Chỉnh sửa lần cuối bởi người điều hành: