Microsoft phát hành 7 bản vá bảo mật

13:46 | 11/12/2014

Bản vá Patch Tuesday mới nhất vừa được Microsoft phát hành dành cho các lỗ hổng của Exchange và Explorer.



Ngày 9/12/2014, Microsoft đã chính thức tung ra các bản vá bảo mật Patch Tuesday mới nhất, trong đó Internet Explorer và Exchange Server đứng đầu danh sách các chương trình của Microsoft cần được vá trong tháng 12. Tổng cộng, Microsoft đã phát hành 7 bản vá bảo mật trong đợt này, trong đó có 3 bản vá được đánh giá ra ở mức độ rất quan trọng và 4 bản vá mức độ quan trọng. Bao gồm bản vá các lỗ hổng bảo mật của Windows (cho cả máy chủ và máy tính để bàn), Office, Exchange Server, SharePoint Server và Internet Explorer.
Bản vá đầu tiên liên quan đến việc thực thi mã từ xa (Remote Code Execution - RCE) của hệ thống. Kẻ tấn công có thể cài đặt đoạn mã thực thi từ xa trên lỗ hổng của phần mềm Microsoft Internet Explorer bằng cách lừa người dùng truy cập vào các đường dẫn hoặc tập tin độc hại. 
Các bản vá tiếp theo là MS14-084 dùng để vá lỗ hổng RCE tìm thấy trong công cụ Windows VBScript, MS14-80 để sửa chữa các vấn đề RCE trong Internet Explorer. MS14-081, MS14-082, MS14-083 khắc phục các lỗ hổng RCE trong Microsoft Office.
Giống như Microsoft, hãng Adobe cũng đã phát hành hai bản vá lỗi quan trọng nhằm khắc phục các lỗ hổng RCE trong gói phần mềm Adobe Flash, Reader và Acrobat của hãng. Người dùng trình duyệt Chrome và Internet Explorer sẽ được cập nhật tự động phiên bản Flash, với các trình duyệt khác người dùng sẽ phải thực hiện cập nhật thủ công.
Ngoài lỗ hổng RCE, quản trị hệ thống (người cho phép người dùng truy cập email Microsoft Exchange thông qua Web client) nên ưu tiên thử nghiệm và cài đặt các bản vá lỗi MS14-075 của Microsoft. Bản vá này sửa chữa bốn lỗ hổng có thể bị khai thác bởi các trang web độc hại. Các phần mềm bị ảnh hưởng là Microsoft Exchange 2007, 2010 và 2013.
Ngoài Microsoft và Adobe, người quản trị cần cập nhật thông tin mới nhất về các lỗ hổng POODLE (Padding Oracle On Downgraded Legacy Encryption) được phát hiện trong phần mềm mã hóa SSL phiên bản cũ vào tháng 10 vừa qua.