Hôm qua Microsoft cập nhật những gì?

Quản trị mạng - Hôm qua Microsoft đã chính thức phát hành 5 bản cập nhật bảo mật tháng 9 vá 8 lỗ hổng trong hệ điều hành Windows bao gồm một lỗ hổng trong công cụ JavaScript tích hợp trong mọi phiên bản được hỗ trợ của hệ điều hành Windows.

Những lỗ hổng khác được phát hiện trong một số định dạng file của Windows Media Player, trong giao thức TCP/IP của Windows, ứng dụng Web mặc định của các giao thức kết nối và trong dịch vụ cấu hình tự động mạng không dây của hệ điều hành Windows.

Ông Andrew Storms, giám đốc bộ phận bảo mật của công ty nCircle Network Security, nói rằng “Mọi bí mật trong tuần trước giờ đây đã được hé mở, nhưng trong số những lỗ hổng mà chúng ta thấy ngày hôm nay có một số liên quan tới Internet Explorer mà trước đó bị đánh đồng là lỗ hổng của Windows.”

Storms ám chỉ tới thông báo của Microsoft được đưa ra vào hôm thứ 5 tuần trước khi công ty này chỉ nói rằng họ sẽ phát hành một số bản cập nhật dành cho một số phiên bản của hệ điều hành Windows.

Storms nói thực ra ba trong số 5 bản cập nhật, gồm MS09-045, MS09-046 và MS09-047, tốt hơn nên nói rõ dành cho Internet Explorer bởi vì tin tặc sẽ sử dụng IE để khai thác bốn lỗ hổng của các bản cập nhật. Storms tranh luận rằng “Đó là những vấn đề khá nghiêm trọng trong tháng này bởi vì những lỗ hổng này có liên quan tới Internet Explorer khi người dùng đang thực hiện những công việc bình thường trên hệ thống như lướt Web.”

MS09-045 cập nhật công cụ phân tách JavaScript/Jscript của Windows để ngăn chặn cuộc tấn công chiếm quyền điều khiển mà tin tặc có thể thực hiện bằng cách đưa mã độc vào một trang Web.

Ông Derek Brown, nhà nghiên cứu bảo mật 3Com’s TippingPoint DVLabs, nói rằng “trong hầu hết các trường hợp, tin tặc có thể dễ dàng khai thác lỗ hổng này bằng một phương pháp đơn giản đó là lừa người dùng Windows truy cập vào một trang web của hắn.” Zero Day Initiative (một trong hai ứng dụng dò tìm lỗi đang được sử dụng hiện nay) là một ứng dụng của TippingPoint được Microsoft tin rằng đã phát hiện ra lỗ hổng này.

Brown nói rằng người dùng nên cập nhật để hạn chế khả năng khai thác lỗ hổng trong JavaScript/Jscript. Trong một email ông viết “Do sự lan tràn của công cụ phân tách và phương pháp khai thác khá đơn giản, vì vậy tốt nhật người dùng nên sử dụng bản vá ngay lập tức.” Microsoft đánh giá lỗ hổng này ở mức 1 trong chỉ số đánh giá khả năng khai thác, nghĩa là “rất có thể có mã khai thác”.

Microsoft cho biết mọi phiên bản hỗ trợ hiện nay của Windows đều chứa lỗ hổng này. Ngoại trừ những bản được phân phối chính thức của Windows 7 và Windows Server 2008 R2 là không có lỗ hổng này. (Xem tiếp trang 2)

Tuy nhiên Storms lại đưa ra ý kiến cho rằng người dùng phải đặc biệt quan tâm tới những lỗ hổng liên quan tới IE. Ông lo ngại rằng khuyến cáo dành sự chú ý cho MS09-048 (cập nhật ngăn xếp TCP/IP của Windows) có thể là sai lầm. Ông nói “Tôi nghĩ nhiều người sẽ quan tâm tới vấn đề của TCP/IP vì đã khá lâu rồi chúng ta mới thấy một lỗ hổng trong ngăn xếp IP.”

Storms cho rằng điều đó thật khờ dại và nói rằng “Khả năng khai thác lỗ hổng đó là rất khó.” Microsoft đồng ý với ý kiến cho rằng 3 lỗ hổng được vá bởi MS09-048 rất khó có thể thai thác trong 30 ngày tới vì chúng chỉ được gán chỉ số 2 và 3 trong chỉ số đánh giá khả năng khai thác.

Có khả năng tin tặc sẽ tấn công vào hai lỗ hổng được vá bởi bản cập nhật MS09-047. Cả hai lỗ hổng này đều được Microsoft đánh giá ở mức 1 trong chỉ sổ khả năng khai thác. Trong một bài viết Microsoft cho biết “Một trong hai lỗ hổng có thể cho phép chạy mã từ xa nếu người dùng mở một file media đã bi thay đổi.”

Hai lỗ hổng định dạng file bao gồm file ASF (Advanced Systems Format) và file MP3 (MPEG-1 Audio Layer 3).

Microsoft đã sử dụng bản cập nhật MS09-046 để vá một lỗ hổng duy nhất trong DHTML Editing Component AcitiveX Control, được IE sử dụng để hỗ trợ cho việc chỉnh sửa nội dung HTML động, có thể bị một website độc tấn công trong cuộc tấn công chiếm quyền điều khiển.

Bản cập nhật thứ 5, MS09-049, và một lỗ hổng nguy hiểm trong dịch vụ cấu hình tự động mạng không dây của hệ điều hành Windows.

Storms nhận xét “Những công cụ cấu hình tự động không đáng tin cậy.”

Theo như dự đoán, Microsoft không vá lỗ hổng mới được phát hiện trong máy chủ Web IIS (Internet Information Services) đang được sử dụng phổ biến. Tuần trước Storms và một số chuyên gia bảo mật nói rằng với khoảng thời gian ngắn ngủi còn lại không đủ cho Microsoft tung ra bản vá IIS trong lần cập nhật này. Tuy nhiên Microsoft đã cam kết vá trong thời gian sớm nhất.

Ngoài ra còn một lỗ hổng khác hiện chưa được vá là lỗ hổng “Blue Screen of Death” được một tin tặc công bố chiều hôm qua.

Các bản cập nhật tháng 9 có thể được tải và cài đặt trên trang Microsoft Update hoặc qua dịch vụ Windows Update cũng như dịch vụ Windows Server Update.