Các lỗ hổng của Apple, Microsoft, OpenOffice

Hai lỗ hổng của Internet Explorer 6 đã được chỉ ra vào tuần trước và đã có bằng chứng về những lỗ hổng đó nhưng Microsoft vẫn chưa có câu trả lời về vấn đề này.

Apple đã cho ra các update của Mac OS X và iTunes để giải quyết vấn đề về lỗ hổng bảo mật này. OpenOffice và StarOffice, sản phẩm của Microsoft Office cũng bị chỉ ra các lỗ hổng trong bảo mật và các phiên bản mới đã được phát hành để sửa chữa lại chúng.

Hai lỗ hổng bảo mật của Internet Explorer được thông báo vào tuần trước. Cả hai lỗ hổng đều của Internet Explorer 6 (IE) hiện đã được sửa trong Windows XP SP2 và không có trong IE 7. Một trong những lỗi đã được đưa ra lúc đầu cũng tác động đến Firefox.

Lỗi đầu tiên, nhiều người phê phán hơn cả là đã cho phép ứng dụng .HTA được thực thi bất chấp việc nó tiềm ẩn các mã nguy hiểm. Người dùng bị đánh lừa trong việc click đúp vào một biểu tượng. Sau đó file được lưu lại trên hệ thống có thể truy cập thông qua SMB hay WebDAV.

Lỗi thứ hai là đã cho phép các kẻ tấn công từ xa lấy lại được nội dung từ trang Web trong chính trình duyệt của nó thông qua sự lạm dụng thuộc tính object.documentElement.outerHTML. Lỗ hổng này càng tăng thì tương đương với nó là việc bảo mật càng kém.

Tuần trước, Apple đã đưa ra một phiên bản update của Mac OS X và phiên bản 6.0.5 của iTunes. Cả hai update này cũng đều tập trung vào các vấn đề bảo mật.

Các vấn đề mà Mac OS X đã được sửa trong 10.4.7 bao gồm:

• Một sai lầm trong AFP (Appleshare File Protocol) server từ phiên bản 10.4 đến 10.4.6 là cho phép kết quả tìm kiếm đưa ra các file và folder không có trong phần người dùng muốn tìm . Điều này là không thể chấp nhận được vì người dùng truy cập đến các mục tìm kiếm ko cần thiết.
• ClamAV (một bộ quét virut) có trong các phiên bản Mac OS X Server từ 10.4 đến 10.4.6, khi thiết lập các update tự động, có thể thực thi một cách tùy tiện các mã do tràn bộ đệm khi update. Phiên bản gần đây của ClamAV (0.88.2) được phát hành để sửa chữa các vấn đề này. Nếu bạn chưa kịp update bản sửa lỗi hãy cho ngừng ngay chế độ mặc định update được thiết lập trong máy.
• Việc quan sát một file TIFF trong ứng dụng ImageIO của phiên bản 10.4 đến 10.4.6 OS X Server có thể gây ra một xung đột hay một sự thực thi mã một cách tùy tiện.
• Một lỗi định dạng chuỗi ký tự trong phiên bản 10.4 đến 10.4.6 của chương trình khởi chạy OS X cho phép một người lạ có thể có các đặc ân như của người dùng được phép.
• Hạn chế của dịch vụ có thể gây ra trong OpenLDAP server của phiên bản 10.4 đến 10.4.6 của OS X Server bằng một yêu cầu LDAP không hợp lệ.

Apple đã phát hành các bản sửa lỗi bảo mật cho phiên bản Mac OS X 10.2.8 hay các phiên bản thấp hơn và cả cho hệ điều hành Windows XP/2000 trên tại trang web của hãng (www.apple.com)

OpenOffice và StarOffice có thể bị tấn công vào bộ lỗi tràn bộ đệm, lỗi này có thể cho phép các kẻ tấn công có thể tăng khả năng điều khiển nội dung của người dùng đang chạy chương trình của họ.

OpenOffice.org 1.1.x và OpenOffice.org 2.0.x bị ảnh hưởng. Sun đã cho biết rằng StarOffice 7 Office Suite, StarOffice 6.0 Office Suite và StarOffice 8 Office Suite có các lỗ hổng. Các phiên bản mới và các phần bổ sung đã được các chuyên gia thiết kế để khắc phục lỗi của chúng.

Phạm Văn Linh
Email: vanlinh@quantrimang.com