Tuần tới Microsoft sẽ vá lỗ hổng Zero-day trong IE

Quản trị mạng - Hôm nay, Microsoft cho biết vào thứ ba tới họ sẽ phát hành 6 bản cập nhật bảo mật, bao gồm một bản cập nhật sẽ vá lỗ hổng trong Internet Explorer mà Microsoft đã xác nhận trong tuần trước.

Trong bài viết đăng trên blog của trung tâm phản ứng bảo mật, Microsoft tiết lộ rằng các bản cập nhật này sẽ vá tổng số 12 lỗ hổng trong Windows, Internet Explorer và Microsoft Office.

Đứng đầu danh sách các bản cập nhật này là bản vá lỗ hổng được đánh giá là critical (mức cao nhất trong hệ thống đánh giá gồm bốn mức) trong IE5.01, IE6, IE7 và IE8.

Bản cập nhật dành cho Internet Explorer sẽ vá lỗ hổng Zero-day mà Microsoft đã xác nhận vào hôm 23 tháng 11 vừa qua trong một bản hướng dẫn bảo mật. Trong bài viết công bố bản hướng dẫn bảo mật hồi tuần trước, JerryBryant, phát ngôn viên của trung tâm phản ứng bảo mật của Microsoft (MSRC), nói rằng “Tôi muốn chỉ ra rằng Internet Explorer 8 không bị tác động trên bất cứ nền tảng nào, và khi vận hành Internet Explorer 7 trong chế độ Protected Mode trên Windows Vista cũng không gặp phải sự cố này.”

Bản hướng dẫn bảo mật chính là phản ứng của Microsoft trước mã tấn công proof-of-concept (mã khai thác lỗ hổng Zero-day) đã được phát tán vài ngày trước đó, khi mã này được đăng lên Bugtraq Security Mailing List. Đoạn mã tương tự đã khai thác một lỗ hổng trong trình phân tách bố cục của Internet Explorer, và tin tặc có thể sử dụng mã này để chiếm quyền những máy tính sử dụng hệ điều hành Windows đã được vá hoàn toàn.

Tuy nhiên, trong bản cập nhật dự kiến được phát hành vào thứ ba tới sẽ loại bỏ những lỗ hổng xuất hiện trong mọi phiên bản đang được hỗ trợ của Internet Explorer, không chỉ là bản IE6 và IE7 mà Microsoft đã xác nhận. Trong một bài viết khác, Bryant cho biết “Chúng tôi muốn khách hàng biết rằng chúng tôi sẽ vá lỗ hổng được đề cập đến trong bản chỉ dẫn bảo mật Security Advisory 977981 của Internet Explorer vào thứ ba tới.”

Bản hướng dẫn bảo mật mà Bryant nhắc tới chính là bản hướng dẫn mà Microsoft phát hành tuần trước. Bryant tiếp “Chúng tôi biết rằng khách hàng dành rất nhiều quan tâm cho lỗ hổng này, đồng thời chúng tôi cũng ý thức được rằng mã proof-of-concept đã được phát tán.”

Cảnh báo chi tiết (Advance Notification) của Microsoft đã giải thích rõ mức độ ảnh hưởng của lỗ hổng này tới Internet Explorer: Mọi phiên bản của Internet Explorer đều chứa một hay nhiều lỗ hổng khi vận hành trên hệ điều hành Windows 2000, Windows XP, Windows Vista, Windows Server 2003 và thậm chí là Windows 7. Chỉ có những hệ điều hành dành cho máy chủ mới nhất, như Windows Server 2008 và Windows Server 2008 R2, là ít bị tác động.

Ông Andrew Storms, giám đốc điều hành bảo mật của nCircle Network Security, nhận xét rằng điều đó không có nghĩa là IE5.01 và IE8 bị tác động bởi mã tấn công khai thác lỗ hổng Zero-day được phát tán vào tuần trước. Microsoft cam kết với Storms rằng bản cập nhật Internet Explorer sẽ bao gồm một số bản vá để vá nhiều lỗ hổng khác nhau, tuy nhiên đây là một điều bất bình thường khi Microsoft vá nhiều lỗ hổng bằng một bản cập nhật duy nhất.

Sau khi bàn bạc với MSRC, Storms nói “Lỗ hổng Zero-day được công bố vào tuần trước vẫn không xuất hiện trên IE8. Một số lỗ hổng khác cũng sẽ được vá trong cùng một bản cập nhật.”

Theo các chuyên gia bảo mật đang theo dõi lỗ hổng này thì mã tấn công được phát tán vào ngày 20/11 vừa qua không hoạt động ổn định, nhưng mã tấn công này được cho là chỉ tác động tới phiên bản IE6 và IE7 trên hệ điều hành Windows XP. Sau đó, Microsoft nói rằng người dùng Vista sẽ được bảo vệ ở mức độ cao hơn so với Windows XP bởi vì sandbox của Windows Vista sẽ giới hạn khả năng khai thác để chiếm quyền điều khiển PC.

Tuần trước, hầu hết các nhà nghiên cứu bảo mật khác, bao gồm cả Storms, đều tỏ ra bi quan khi được hỏi về khả năng Microsoft sẽ nhanh chóng phát hành một bản vá để vá lỗ hổng trong IE6 và IE7, nhưng hôm nay, Storms tỏ ra rất hứng khởi. Ông nói “Tuần trước tôi đã do dự về khả năng họ sẽ vá lỗ hổng này. Tuy nhiên, trước những tác động của lỗ hổng này và thực tế là mã tấn công đã được phát tán, tôi không thấy làm ngạc nhiên nếu họ kiểm soát được nó.”

Các bản cập nhật khác được dự kiến phát hành vào ngày 8/12 để vá những lỗ hổng trong Windows; Office 2000, Office 2003; và Microsoft Project 2000, 2002 và 2003. Ba trong số sáu bản cập nhật này được đánh giá là critical, trong khi đó ba bản còn lại được đánh giá là important.

Nhắc tới những bản cập nhật không dành cho Internet Explorer, Storms nói “Thành thật mà nói, các bản cập nhật còn lại không được quan tâm tại thời điểm này. Internet Explorer sẽ còn được chú ý trong tuần tới.”

Storms cho biết điểm nhấn duy nhất đó là Microsoft đã tiết lộ nhiều thông tin hơn trên Pre-Patch Tuesday Notification, trang được khách hàng sử dụng để lên kế hoạch vá cho tuần tiếp theo.

Ủng hộ những động thái của Microsoft, Storms nói rằng “Thật tuyệt, họ đang cho chúng ta biết số lượng lỗ hổng và những ứng dụng bị tác động. Họ sẽ tiếp tục cung cấp thêm thông tin cho khách hàng.”

Microsoft sẽ phát hành 6 bản cập nhật vào lúc 1 giờ chiều ngày 8/12 tới (Theo giờ phương Đông).
Thứ Sáu, 04/12/2009 09:50
31 👨 329
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp