Trung tam Ung cuu khan cap May tinh Viet Nam

CBND11-005

Microsoft cập nhật bản vá cho 5 lỗ hổng của Internet Explorer.

Tổng quan

Bản vá MS11-018 phát hành trong tháng 4, cùng lúc vá 5 lỗ hổng trong trình duyệt web Internet Explorer của Window, trong đó có 1 lỗ hổng được phát hiện bởi Stephen Fewer trong cuộc thi Pwn2Own. Các lỗ hổng này ảnh hưởng tới các phiên bản Internet Explorer 6, Internet Explorer 7 và Intenet Explorer 8. Các phiên bản của Internet Explorer 9 không bị ảnh hưởng.

I. Mô tả

     Bản vá này được đánh giá là Critical với các máy Window client và Moderate với các máy Window Server sử dụng Internet Explorer 6, Internet Explorer 7, Internet Explorer 8.
    Năm lỗ hổng trong Internet Explorer đều liên quan đến quá trình xử lý các đối tượng trong bộ nhớ, các hàm trong quá trình xử lý (khi 1 tiến trình được thực thi, nó cần được cấp phát tài nguyên thông qua các lời gọi hàm. Sau một khoảng thời gian (tùy vào thuật toán lập lịch của hệ thống) thì tài nguyên đã cấp phát cho tiến trình sẽ được giải phóng, tuy nhiên các tham chiếu tới tài nguyên vẫn tồn tại để sử dụng sau. Kẻ tấn công đã lợi điểm này để thực hiện các cuộc tấn công) và cho phép kẻ tấn công có thể thực thi mã lệnh với quyền của người dùng hiện tại.
       1. Điểm yếu CVE-2011-0094 “Layouts Handing Memory Corruption” của Microsoft Internet Explorer 6 và 7 cho phép kẻ tấn công thực thi các mã lệnh khi tiến trình của Internet Explorer truy nhập tới tài nguyên chưa được khởi tạo hoặc đã bị xóa.
        2. Điểm yếu CVE-2011-0346 “MSHTML Memory Corruption Vulnerability” tồn tại trong thư viện MSHTML.DLL của Internet Explorer 6,7,8.
        3. Điểm yếu CVE-2011-1244 “Frame Tag Information Disclosure Vulnerability” cho phép kẻ tấn công có thể lấy được các thông tin nhạy cảm trong Internet Explorer..
        4. Điểm yếu CVE-2011-1245 “Javascript Information Disclosure Vulnerability”. Đây cũng là điểm yếu làm lộ thông tin trong Internet Explorer
       5. Điểm yếu CVE-2011-1345 “Object Management Memory Corruption Vulnerability” Điểm yếu này được phát hiện bởi Stephen Fewer trong cuộc thi Pwn2Own.
    Kẻ tấn công có thể khai thác các điểm yếu này bằng cách tạo ra một trang web độc. Khi người dùng truy cập vào trang web này thì kẻ tấn công có thể thực thi các mã lệnh với quyền của người dùng hiện tại. Nếu người dùng hiện tại có quyền quản trị thì kẻ tấn công sẽ chiếm được quyền điều khiển hệ thống.
    Bản vá này vá các điểm yếu bằng cách thay đổi cách mà Internet Explorer xử lý các đối tượng, tài nguyên và các script

II. Các phiên bản bị ảnh hưởng

     • Internet Explorer 6
     • Internet Explorer 7
     • Internet Explorer 8

III. Giải pháp

III. Tham khảo

     • Microsoft: MS11-018
     • CVE-2011-1345
     • iDefense Labs

Other Information

Ngày thông báo	28/04/2011
Ngày cập nhật sau cùng	28/04/2011
VNCERT-ID	CBND 11-005
Mức độ nguy hiểm	cao

Mọi thắc mắc hay ý kiến đóng góp xin liên hệ địa chỉ email chính thức của VNCERT (office[at]vncert[.]vn)