16 bản cập nhật an ninh là sự kiện lớn nhất trong hơn ba năm qua.

Microsoft hôm nay cho biết họ sẽ phát hành 16 bản cập nhật an ninh vào thứ Ba tới, lớn nhất trong hơn ba năm qua, để vá lỗi cho Internet Explorer (IE), Windows, Office, Exchange Server và SharePoint Server.

16 "Bulletin", mà theo Microsoft gọi là bản cập nhật, được liệt kê trong thông báo hôm nay gần gấp đôi kỷ lục trước đó năm 2014 với bộ 9 bản cập nhật vào tháng 5 và tháng 8, vượt kỷ lục năm 2013 với số bản là 13, và suýt đạt mốc kỷ lục 17 bản vào tháng 4/2011.

Russ Ernst, giám đốc quản lý sản phẩm với công ty an ninh mạng Lumension, gọi danh sách của tháng 11 là "khổng lồ" trong một email ngày hôm nay, trong khi Jon Rudolph, kỹ sư phần mềm cấp cao tại Core Security, gọi nó là "sự áp đảo".

5 trong số 16 bản cập nhật được đánh giá ở mức "nghiêm trọng", theo danh sách xếp hạng mức độ nghiêm trọng của Microsoft. 9 bản được đánh giá là "hệ trọng", mức tiếp theo trong hệ thống đánh giá bốn bước, trong khi hai bản còn lại được đánh giá "vừa phải".

5 bản cập nhật được xác định là khắc phục các lỗ hổng, nếu bị khai thác, có thể dẫn đến khả năng cho phép "thực thi mã lệnh từ xa", nghĩa là tin tặc có thể chiếm quyền điều khiển một hệ thống và cài đặt phần mềm độc hại lên hệ thống đó. 7 bản cập nhật khác sẽ khắc phục lỗi "nâng quyền".

Như thuộc lòng, Microsoft sẽ vá tất cả các phiên bản trình duyệt IE được hỗ trợ, từ IE6 gần như đã thất sủng trên Windows Server 2003 đến phiên bản IE11 mới nhất. Việc vá lỗi cho IE trên các phiên bản client của Windows - Vista, Windows 7 và Windows 8 / 8.1 - được đánh giá ở mức độ nghiêm trọng đối với IE7, IE8, IE9, IE10 và IE11.

Microsoft đã không đưa ra một con số cụ thể những lỗ hổng IE mà họ sẽ vá, nhưng trong 5 tháng qua, công ty đã khắc phục 161 lỗi trong trình duyệt, hoặc trung bình 32 lỗi mỗi tháng. Số lượng lỗ hổng lớn nhất tồn tại trong IE trong một tháng là 60 vào tháng 6, nhưng tháng 9 (với 37 lỗi) và tháng 8 (với 26 lỗi) không xa sau đó.

Những bản cập nhật quan trọng khác sẽ khắc phục lỗ hổng trong các thành phần khác của Windows, bao gồm Bulletin 5, mà chỉ ảnh hưởng đến hệ điều hành máy chủ. Microsoft nói rằng một hoặc nhiều lỗi được vá bởi Bulletin 5 không tồn tại trong các phiên bản client, tuy nhiên chúng sẽ được cập nhật để "tăng cường khả năng bảo vệ theo chiều sâu" như chống lại những lỗ hổng tương tự có thể xuất hiện trong tương lai.

Hai bản cập nhật quan trọng sẽ khắc phục các lỗ hổng trong SharePoint Server 2010 và Exchange Server 2007, 2010 và 2013. Hai bản cập nhật này sẽ khắc phục lỗi nâng quyền, và có thể yêu cầu khởi động lại máy chủ, thường là một yêu cầu nguy hiểm đối với quản trị viên trên cả máy chủ SharePoint và Exchange - nhưng đặc biệt sau này - là những hệ thống quan trọng mà không thể bị gián đoạn một phút nào.

"Việc vá lỗi máy chủ Exchange luôn luôn khó khăn bởi vì các hệ thống này cực kỳ quan trọng và thường được triển khai ở khu vực bên ngoài," Ross Barrett phát biểu, quản lý cấp cao bộ phận an ninh tại Rapid7, trong một email. "Quản trị viên sẽ phải cân nhắc nguy cơ khai thác với sự phơi nhiễm nhận thấy được và thời gian gián đoạn cho phép."

Microsoft sẽ phát hành 16 bản cập nhật vào khoảng 10 giờ sáng ngày 11 tháng 11 theo múi giờ Thái Bình Dương (khoảng 1 giờ chiều theo múi giờ miền Đông).