Lỗi nghiêm trọng mới trong Microsoft Office và Access

Microsoft đang điều tra một thông báo về lỗ hổng bảo mật có thể mở cửa các hệ thống đang sử dụng phần mềm Microsoft Access hoặc Office để tấn công. Lỗi này vẫn đang tồn tại trong các hệ thống được cập nhật bảo mật mới nhất.

Lỗi bảo mật này, không nằm trong 8 lỗi được Microsoft khắc phục trong ngày hôm qua bằng bản sửa lỗi mới nhất, hiện tồn tại trong thành phần cơ chế cơ sở dữ liệu Jet. Hãng bảo mật Secunia cũng đưa ra một cảnh báo tương tự trong ngày hôm qua. Lỗi khiếm khuyết có thể bị kẻ tấn công lợi dụng để thực hiện được các mã lệnh phá hoại từ xa trên PC mắc lỗi.

Microsoft chưa khẳng định về sự tồn tại của lỗi bảo mật này, hiện được cho là ảnh hưởng tới các phần mềm như Microsoft Office và chương trình CSDL Microsoft Access.

Secunia đánh giá lỗi này ở mức "nguy cấp cao" (highly critical) và nhấn mạnh rằng đoạn mã chương trình khai thác lỗ hổng đó đã được phát tán và chia sẻ trên một mailing list công cộng.

"Yếu điểm này xuất hiện do một lỗi quản lý bộ nhớ, khi... đamg phân tách các file CSDL", Secunia cho biết trong khuyến nghị của mình. "Nó có thể bị lợi dụng để thực thi mã chương trình bất kỳ bằng cách lừa người dùng mở một file '.mdb' trong Microsoft Access được thiết kế một cách tinh vi".

Một đại diện Microsoft cho biết hôm qua rằng hãng chưa được thông báo về bất kỳ vụ tấn công nào vào các hệ thống Windows của khách hàng thông qua lỗ hổng chưa vá này.

Theo Secuina, cảnh báo ban đầu đề cập về lỗ hổng này đã được một hãng bảo mật có tên HexView thông báo.

Tiếp diễn cuộc tranh cãi đang diễn ra về việc những chuyên gia bảo mật nên thông báo các lỗi của Microsoft vào khi nào và như thế nào, Microsoft chỉ trích các nhà nghiên cứu thường công bố công khai về lỗi bảo mật hơn là liên hệ kín với nhà sản xuất phần mềm để có thể đưa ra miếng vá lỗi khi cả "thiên hạ" được biết.

Hãng HexView cho biết đã thông báo với Microsoft về lỗi này từ ngày 30/3, nhưng không nhận được phản hồi nào từ người khổng lồ phần mềm lớn nhất thế giới.

Bạn có thể tham khảo bản vá lỗi bảo mật:
http://www.microsoft.com/security/bulletins/default.mspx

Thứ Tư, 13/04/2005 15:22
31 👨 155
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp