Microsoft bít lỗ hổng chết người Windows

Microsoft cho biết đã có kế hoạch khắc phục một lỗi bảo mật chết người trong Windows. Lỗi này là nguyên nhân gốc rễ “chọc thủng” hàng loạt các phần mềm ứng dụng khác chạy trên nền tảng Windows.

Đó lỗi trong công nghệ xử lý URI (Uniform Resource Identifier). Công nghệ này cho phép người dùng có thể khởi động bất kỳ một chương trình nào chạy trên PC trực tiếp từ trình duyệt web chỉ bằng cách nhắp chuột vào một liên kết URL.

Tháng 7 vừa qua, chuyên gia nghiên cứu bảo mật Thor Larholm trình diễn cụ thể phương thức khai thác lỗi bảo mật URI, lợi dụng một trình duyệt web khác để truyền dữ liệu độc hại sang cho Firefox. Lỗi này hoàn toàn có thể cho phép tin tặc vận hành bất kỳ một phần mềm gì trên hệ thống của người dùng.

Cho đến nay rất nhiều các chuyên gia nghiên cứu khác cũng tìm ra được phương thức khai thác lỗi tương tự, song không phải bằng trình duyệt nữa mà bằng các phần mềm khác như Firefox, Outlook Express 6 và Adobe Reader 8.1.

Tuy nhiên, nguyên nhân không phải hoàn toàn thuộc về Windows mà cũng một phần thuộc về các phần mềm nói trên. Những phần mềm đó có chức năng kiểm duyệt liên kết nhằm bảo đảm tin tặc không lợi dụng liên kết để chèn mã độc lên hệ thống. Song đây cũng chính là vấn đề gây tranh cãi nhiều nhất. Chuyên gia nghiên cứu bảo mật cho rằng Windows có thể kiểm tra liên kết tốt hơn hẳn phần mềm hãng thứ ba. Trong khi đó, Microsoft tuyên bố vấn đề thuộc về những người lập trình các ứng dụng đó.

Chuyên gia Jonathan Ness của Microsoft cho biết sau tiến trình điều tra cụ thể và thảo luận chi tiết cuối cùng hãng đi đến quyết định ban hành giải pháp khắc phục lỗi nhằm tránh những tranh cãi không cần thiết và bảo vệ người dùng. Thông tin chi tiết được đăng tải trong bản tin cảnh báo bảo mật Security Advisory 94351 mới phát hành của hãng.

Tuy nhiên, cho đến nay Microsoft vẫn chưa tiết lộ chính xác thời điểm phát hành bản cập nhật sửa lỗi URI. Có thể bản cập nhật sẽ được phát hành cùng với bản cập nhật định kỳ tháng 11 tới đây.

Hoàng Dũng