1. Thông tin chung
Tháng 01/2010, nhiều hãng phần mềm lớn trên thế giới đã đưa ra bản vá cập nhật cho các sản phẩm của mình. Sau đây là chi tiết các bản vá của các Microsoft, Adobe và Oracle:
|
Ngày công bố
|
Phần mềm có lỗi
|
Mức độ nguy hiểm
|
|
12/01/2010
|
Microsoft Windows
|
Cao |
| 07/01/2010 |
Adobe Illustrator CS4 (14.0.0) và Adobe Illustrator CS3 (13.0.3 trở về trước), trên hệ điều hành Windows và Macintosh |
Cao |
| 12/01/2010 |
Adobe Reader 9.2 trở về trước
Acrobat 9.2 trở về trước
Adobe Reader 8.1.7 trở về trước
Acrobat 8.1.7 trở về trước |
Cao |
| 19/01/2010 |
Shockwave Player 11.5.2.602 và các phiên bản trước cho Windows và Macintosh |
Cao |
| Tháng 01/2010 |
Oracle Database 11g, phiên bản 11.1.0.7
Oracle Database 10g Release 2, phiên bản 10.2.0.3, 10.2.0.
Oracle Database 10g, phiên bản 10.1.0.5
Oracle Database 9i Release 2, phiên bản 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3), phiên bản 10.1.3.4.0, 10.1.3.5*, 10.1.3.5.1*
Oracle Application Server 10g Release 2 (10.1.2), phiên bản 10.1.2.3.0
Oracle Access Manager phiên bản 7.0.4.3, 10.1.4.2
Oracle E-Business Suite Release 12, phiên bản 12.0.4, 12.0.5, 12.0.6, 12.1.1 và 12.1.2
Oracle E-Business Suite Release 11i, phiên bản 11.5.10.2
PeopleSoft Enterprise HCM (TAM), phiên bản 8.9 và 9.0
Oracle WebLogic Server 10.0 qua MP2, 10.3.0 và 10.3.
Oracle WebLogic Server 9.0 GA, 9.1 GA và 9.2 qua 9.2 MP3
Oracle WebLogic Server 8.1 qua 8.1 SP6
Oracle WebLogic Server 7.0 qua 7.0 SP7
Oracle JRockit R27.6.5 và các phiên bản trước (JDK/JRE 6, 5, 1.4.2) Primavera P6 Enterprise Project Portfolio Management 6.1, 6.2.1 và 7.0
Primavera P6 Web Services 6.2.1, 7.0 và 7.0SP1 |
Cao |
2. Mô tả kỹ thuật
Bản vá của Microsoft khắc phục một lỗ hổng trong cơ chế xử lý EOT ( Embedded OpenType Font- một định dạng Font có kích thước gọn nhẹ thường dùng trên các website). Lỗ hổng này có thể cho phép hacker cài đặt mã độc từ xa vào máy người dùng khi họ sử dụng những chương trình có thể hiển thị định dạng này như : Microsoft Internet Explorer, Microsoft Office PowerPoint, hoặc Microsoft Office Word. Hacker khai thác được lỗ hổng này có thể hoàn toàn chiếm quyền điều khiển hệ thống, tiến hành cài đặt mã độc, xem, sửa đổi, xóa dữ liệu hoặc tạo tài khoản trên máy người dùng.
Trong khi Microsoft chỉ đưa ra 01 một miếng vá MS10-001, thì khoảng thời gian vừa qua có thể được coi là “tháng của Adobe” với hàng loạt các lỗ hổng nguy hiểm liên tục được công bố.
Các cập nhật lần này của Adobe đã khắc phục những lỗ hổng sau:
Các lỗi trên Adobe Reader 9.2 và Acrobat 9.2:
-
Lỗi truy nhập sau khi thu hồi bộ nhớ trong Multimedia.api (lỗi này mới được chỉ ra ở Adobe Reader 9.2 và Acrobat 9.2 trên môi trường windows).
-
Lỗi tràn mảng trong U3D (Universal 3D – một chuẩn định dạng nén cho dữ liệu đồ họa 3D) . Lỗi này trước đó đã bị nhận dạng nhầm với một loại lỗ hổng được phát hiện trước đó bởi Metasploit.
-
Một lỗ hổng khi load dll trong module xử lý đồ họa 3D.
-
Một lỗ hổng lỗi bộ nhớ.
-
Giảm bớt nguy cơ script injection bằng cách thay đổi thông báo lỗi mặc định.
-
Lỗi con trỏ NULL có thể gây ra từ chối dịch vụ.
-
Lỗ hổng tràn bộ đệm trong DownLoad Manager.
-
Lỗ hổng tràn số nguyên trong U3D.
Hai lỗ hổng tràn bộ đệm trên Adobe Illustrator CS4 (14.0.0) và Adobe Illustrator CS3 (13.0.3 trở về trước)
Lỗ hổng tràn bộ đệm và lỗ hổng tràn số nguyên khi thực hiện phép nhân trên Shockwave Player 11.5.2.602 - một ứng dụng cho phép tạo ra các hình ảnh đồ họa phong phú trên môi trường online.
Những lỗ hổng này có thể giúp kẻ tấn công chạy những đoạn code tùy ý trên máy người dùng, từ đó chiếm quyền điều khiển máy hoặc đánh cắp thông tin cá nhân . . .
Các sản phẩm của Oracle được cập nhật lần này gồm có 4 phần mềm cơ sở dữ liệu, 9 phần mềm phục vụ cho server và 4 phần mềm phục vụ cho quản trị doanh nghiệp. Các phần mềm này tồn tại nhiều hổng và nguy cơ an ninh, Oracle đã đưa ra 24 bản vá cho tổng số 17 phần mềm của mình.
3. Cập nhật bản vá
Đây là những lỗ hổng có mức độ nguy hiểm cao, xuất hiện trên những phần mềm được sử dụng rộng rãi, Bkis khuyến cáo người sử dụng cần nhanh chóng tiến hành cập nhật phần mềm theo những địa chỉ sau:
Những người dùng hệ điều hành Windows: http://www.microsoft.com/technet/security/bulletin/ms10-jan.mspx
Người dùng Adobe Reader trên Windows, Macintosh, Unix: http://get.adobe.com/reader
Acrobat Standard và Pro trên Windows: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Acrobat Pro Extended trên Windows: http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows
Acrobat 3D trên Windows: http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows
Acrobat Pro trên Macintosh: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Link dành riêng cho Adobe Reader 8.x trên UNIX, Adobe Reader 7.x và Acrobat 7.x trên Windows, Macintosh và UNIX: http://www.adobe.com/support/products/enterprise/eol/eol_matrix.html#86
Bản vá cho Adobe Illustrator CS4 trên Windows: http://download.macromedia.com/pub/security/bulletins/apsb10-01/win/APSB10_01_CS4_Win.zip
Bản vá cho Adobe Illustrator CS4 trên Macintosh: http://download.macromedia.com/pub/security/bulletins/apsb10-01/mac/APSB10_01_CS4_Mac.zip
Bản vá cho Adobe Illustrator CS3 trên Windows: http://download.macromedia.com/pub/security/bulletins/apsb10-01/win/APSB10_01_CS3_Win.zip
Bản vá cho Adobe Illustrator CS3 trên Macintosh: http://download.macromedia.com/pub/security/bulletins/apsb10-01/mac/APSB10_01_CS3_Mac.zip
Cho Shockwave Player: http://get.adobe.com/shockwave/
Các phần mềm của Oracle: http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html
Chuyên viên phân tích: Lê Minh Tuân