Bản vá lỗi Windows URI không chính thức

Cuối tuần qua một chuyên gia nghiên cứu bảo mật đã cho phát hảnh bản vá không chính thức cho lỗi bảo mật chết người URI trong hệ điều hành Windows.

Có thể nói giới bảo mật thời gian qua đã không thể ngồi yên khi mà theo thời gian sự nguy hiểm của lỗi Windows URI ngày một gia tăng. Lỗi này đã bị xác định là nguyên nhân khiến không ít các ứng dụng như Firefox, Adobe Reader, Outlook Express … trở thành cánh cửa mở cho tin tặc tấn công người dùng.

Microsoft mới đây thông báo sẽ cho khắc phục lỗi Windows URI song lại không tiết lộ chính xác khi nào sẽ phát hành bản vá. Lần này giới nghiên cứu bảo mật lại đã nhanh chân hơn.

Ngày chủ nhật vừa qua (14/10), chuyên gia nghiên cứu bảo mật KJK::Hyperion chính thức đưa lên website của ông một bản vá lỗi URI có dung lượng 16KB dành cho Windows XP và Windows Server 2003 sử dụng Internet Explorer 7. Bản vá lỗi sau đó được phát hành rộng thông qua danh sách email bảo mật Full Disclosure.

Bản vá của KJK::Hyperion là ngăn chặn không cho thực thi liên kết URL độc hại và buộc hệ điều hành phải chuẩn hoá URL. Chuẩn hoá URL có nghĩa mọi ký tự trên liên kết URL sẽ bị chuyển hết thành ký tự thường không viết hoa và loại bỏ phần “www”. Đây là một kỹ thuật nhằm giúp các công cụ tìm kiếm không lập chỉ mục những website giống nhau.

Tuy nhiên, chuyên gia bảo mật nói trên cũng khuyến cáo bản vá lỗi của ông chưa hoàn thiện và không chính thức. Tốt nhất chỉ những người dùng muốn mạo hiểm thì hãy sử dụng bởi bản vá vẫn đang trong quá trình thử nghiệm. “Có thể hệ điều hành của bạn sẽ trở nên bất ổn sau khi cài đặt bản vá lỗi của tôi”.

Microsoft hiện chưa có bình luận gì về thông tin nói trên. Người dùng có thể tải về bản vá lỗi nói trên tại đây.

Hoàng Dũng