Microsoft sắp vá lỗi ActiveX

Quản Trị Mạng - Nếu không có gì thay đổi, trong bản vá dự kiến đưa ra vào thứ 3 tới đây, Microsoft sẽ phát hành nhiều bản vá sửa lỗi bảo mật quan trọng cho Windows - hệ điều hành máy tính đang được sử dụng rỗng rãi.

Nhưng lần này, việc tung ra bản vá của Microsoft đang được quan tâm hơn bao giờ hết.

3 bản vá bảo mật mới được cho là rất quan trọng đối với Microsoft sẽ là một phần trong gói vá bảo mật, đây cũng là 3 bản sửa lỗi quan trọng cho các sản phẩm khác của Microsoft là Publisher, Internet Security, và Acceleration (ISA) Server cùng Virtual PC và Virtual Server. Theo thông tin hướng dẫn thì những bản sửa lỗi này dành cho máy sử dụng Windows Vista, Windows XP hay Windows Server 2003.

Nếu máy tính được cài đặt tự động cập nhật những bản vá Windows thì chúng sẽ được tải về mà không cần phải thực hiện thao tác nào.

Mặc dù một trong số những bản vá giúp khắc phục lỗ hổng bảo mật trong Video ActiveX Control của Microsoft có tác động tới máy tính sử dụng Windows XP hay Server 2003 chỉ mới được chờ đợi nhưng dường như nó đã xuất hiện trong báo cáo lỗi đầu tiên hồi đầu năm 2008.

Những lỗi phát hiện trong báo cáo đầu tiên

Trong một bài viết đăng trên blog của Microsoft Security Response Center ngày hôm qua, ông Mike Reavey, phát ngôn viên của Microsoft viết rằng “Chúng tôi đã nhận được một vài lỗi do khách hàng phản hồi trong báo cáo đầu tiên về lỗ hổng này, nhưng việc kiểm tra quá lâu đã dẫn tới việc lỗ hổng này liên tục bị tấn công.”

“Trước khi đi vào chi tiết, một điều quan trọng tôi muốn khách hàng hiểu rằng đó là họ rất có trách nhiệm khi báo cáo vấn đề này tới chúng tôi, và chúng tôi đang thực hiện những quy trình chuẩn để nâng cấp bảo mật. Trong khi đang thực hiện quy trình đó, những kẻ tấn công đã phát hiện ra lỗ hổng tương tự và lại tấn công nó. Chúng tôi đã sắp thực hiện xong quy trình để cung cấp thông tin giúp khách hàng thực hiện bảo mật tạm thời trong khi chúng tôi hoàn thành việc kiểm tra và đưa ra một bản cập nhật bảo mật mà người dùng có thể hoàn toàn tin tưởng.”

Báo cáo đầu tiên được nhận từ mùa xuân 2008

Đã hơn một năm kể từ khi Microsoft nhận được báo cáo về lỗ hổng bảo mật ActiveX Control vào mùa xuân 2008, nhưng cho đến giờ họ vẫn chưa đưa ra được bản vá cho lỗi này.

Thậm chí Reavey đã thú nhận điều này trong bài viết của ông. Lí do mà lỗ hổng này cần phải khắc phục đó là nó cho phép kẻ tấn công thực hiện kiểm soát máy tính của nạn nhân qua Internet khi họ đăng nhập nếu máy tính của họ truy cập vào một trang Web độc hại.

Một năm đã trôi qua và mối nguy hiểm đó vẫn tồn tại. Có thể chúng ta sẽ phải đợi Microsoft đưa ra nhóm bản vá vào một ngày thứ 3 khác.