Trang chủ » Tin tức

Microsoft phát hành 7 bản vá bảo mật trong tháng 12

(PCWorldVN) Bản vá Patch Tuesday vừa được Microsoft tung ra nhắm vào các lỗ hổng của Exchange và Explorer.
Microsoft đã phát hành 7 bản vá bảo mật cho tháng 12, trong đó có 3 bản rất quan trọng
Microsoft hôm 9/12 chính thức tung ra các bản vá bảo mật Patch Tuesday mới nhất, trong đó Internet Explorer và Exchange Server đứng đầu danh sách các chương trình của Microsoft cần được vá trong tháng 12 này.

 

Tổng cộng, Microsoft đã phát hành 7 bản vá bảo mật trong đợt này, trong đó có 3 bản rất quan trọng, bao gồm bản vá các lỗ hổng bảo mật của Windows (cho cả máy chủ và máy tính để bàn), Office, Exchange Server, SharePoint Server và Internet Explorer.

Bản vá đầu tiên nhắm vào việc thực thi mã từ xa(remote code execution - RCE) của quản trị hệ thống. Bản sửa lỗi vá các lỗ hổng cho phép kẻ tấn công có thể thực thi lệnh từ xa thông qua mạng.

Bản MS14-084 vá lỗ hổng RCE tìm thấy trong công cụ Windows VBScript. MS14-80 sửa chữa các vấn đề RCE trong Internet Explorer. Bản khác - MS14-081, MS14-082, MS14-083, khắc phục các lỗ hổng RCE trong Microsoft Office.

Microsoft không đơn độc trong việc chống đỡ các cuộc tấn công tiềm năng RCE. Adobe cũng đã phát hành hai bản vá lỗi quan trọng nhằm khắc phục các lỗ hổng RCE trong gói phần mềm Adobe Flash, Reader và Acrobat của hãng. Người dùng Chrome và Internet Explorer sẽ được cập nhật tự động phiên bản Flash, còn người dùng các trình duyệt khác sẽ phải cập nhật thủ công.

Ngoài lỗ hổng RCE, quản trị hệ thống (người cho phép người dùng truy cập email Microsoft Exchange thông qua Web client) nên ưu tiên thử nghiệm và cài đặt các bản vá lỗi MS14-075 của Microsoft. Bản vá này sửa chữa bốn lỗ hổng có thể bị khai thác bởi các trang web độc hại. Người sử dụng Outlook Web Access nên quan tâm đến bản vá này.

Microsoft ban đầu dự kiến phát hành bản vá này cho Exchange vào tháng trước, nhưng giữ lại để đánh giá thêm. Không như các lỗ hổng quan trọng Kerberos phát hiện tháng trước, khi Microsoft đưa bản vá đột xuất, các lỗ hổng được đề cập chưa bị hacker khai thác.

Ngoài Microsoft và Adobe, nhà quản trị cũng nên cập nhật thông tin mới nhất với các lỗ hổng POODLE(Padding Oracle On Downgraded Legacy Encryption) được phát hiện trong phần mềm mã hóa SSL phiên bản cũ vào tháng 10 vừa qua.

Hôm 8/12, Google thông báo rằng POODLE cũng ảnh hưởng đến phần mềm mã hóa TLS (Transport Layer Security). Thậm chí nếu người dùng không sử dụng TLS trực tiếp, giao thức này có thể được nhúng vào các hệ thống khác, chẳng hạn như cân bằng tải.

Trong năm nay, Microsoft đã phát hành 85 bản vá, giảm mạnh so với 106 bản trong năm 2013.