Microsoft bít một loạt lỗi chết người cho Office

Bản cập nhật định kỳ tháng 3 được Microsoft phát hành hôm qua (11/3) có thể được xem là bản cập nhật dành riêng cho Office. Hầu hết các lỗi được sửa đều thuộc về các phiên bản Office.

Cả bốn bản cập nhật lớn phát hành lần này đều được xếp vào mức “cực kỳ nguy nghiểm”. Điều này đồng nghĩa với việc người dùng Office nên nhanh chóng tải về và cài đặt các bản cập nhật này càng sớm càng tốt.

Đáng chú ý trong số các lỗi bảo mật được bít trong lần này có tới 6 lỗi thuộc về Microsoft Excel đã bị tin tặc lợi dụng để tấn công người dùng. Mã khai thác những lỗi này hiện đã được phát tán rộng rãi. Nếu khai thác thành công những lỗi này tin tặc có thể đoạt được quyền kiểm soát toàn bộ hệ thống mắc lỗi.

Phương thức tấn công những lỗi này vẫn là nhúng mã khai thác lỗi trong một tệp tin Excel được lập trình đặc biệt. Chỉ cần người dùng mở tệp tin này ra tin tặc sẽ giành được quyền cài đặt phần mềm mới; xem, thay đổi hoặc xoá dữ liệu trên hệ thống và thậm trí là tạo lập tài khoản người dùng mới với đầy đủ quyền hạn truy cập hệ thống ở cấp độ cao nhất.

Các phiên bản Excel được xác nhận mắc lỗi gồm Excel 2000 SP3, Excel 2002 SP3, Excel 2003 SP2, Excel 2007, Microsoft Office Excel Viewer 2003, Microsoft Office Compatibility Pack for Word, Excel & PowerPoint 2007 File Formats, Microsoft Office 2004 Mac, và Microsoft Office 2008 for Mac. Người dùng nên nhanh chóng tải về và cài đặt bản cập nhật MS08-014.

Bản cập nhật MS08-015 nhắm tới bít các lỗi bảo mật trong hàng loạt các phiên bản Microsoft Outlook. Đây đều là các lỗi liên quan đến thủ tục URI Mailto trong Outlook và hoàn toàn có thể bị tin tặc lợi dụng để từ xa đoạt quyền thực thi mã độc trên hệ thống mắc lỗi.

Nếu khai thác thành công lỗi này tin tặc cũng sẽ đoạt được những quyền hạn tương tự như khai thác thành công lỗi trong Excel. Các phiên bản Outlook mắc lỗi gồm Outlook 2000 SP3, Outlook 2002 SP3, Outlook 2003 SP2, Outlook 2003 SP3, và Outlook 2007.

Trong khi đó, MS08-016 nhắm tới bít các lỗ hổng bảo mật khác liên quan đến cách thức các ứng dụng Office và Excel xử lý các tệp tin độc hại có gắn mã khai thác do tin tặc gửi đến. Nếu khai thác thành công những lỗi này tin tặc cũng sẽ đoạt được quyền kiểm soát toàn bộ hệ thống của người dùng. Đây là các lỗi tràn bộ nhớ đệm trong Office 2000 SP3, Office XP SP3, Office 2003 SP3, Office Excel Viewer 2003, Microsoft Office Excel Viewer 2003 SP3, và Office 2004 for Mac.

Cuối cùng bản cập nhật MS08-017 bít các lỗi bảo mật xử lý đường dẫn URL và nguồn dữ liệu Datasource trong Office 2000 SP3, Office XP SP3, Visual Studio .NET 2002 SP1, Visual Studio .NET 2003 SP1, BizTalk Server 2000, BizTalk Server 2002, Commerce Server 2000, và Internet Security and Acceleration Server 2000 Service Pack 2. Những lỗi này cũng có thể bị lợi dụng để đoạt quyền kiểm soát hệ thống.