Microsoft vừa đưa ra một số cảnh báo cho khách hàng của mình về một số lỗi bảo mật vừa được phát hiện trong ứng dụng nhắn tin trực tuyến MSN Messenger và bộ Office XP.
2 công ty bảo mật là Finjan Software và Core Security Technologies đã tung ra đoạn mã mẫu để chứng minh về sự hiện diện các lỗi bảo mật nói trên sau khi Microsoft đã tung ra các bản vá lỗi phù hợp.
Công ty Finjan đã phát hiện ra một lỗi bảo mật trong bộ Microsoft Office XP. Đây là một lỗi tràn bộ đệm ảnh hưởng đến quá trình các thông tin từ giao thức Web URL chuyển đến các ứng dụng trong bộ Office XP, lỗi này có thể cho phép các hacker ẩn dấu và giả mạo các đòn tấn công của mình dưới dạng các liên kết HTML đến các e-mail hay trang web. Người dùng có thể tham khảo thông tin về lỗi bảo mật này tại đây.
Microsoft cũng chỉ trích nặng nề công ty Core Security Technologies vì công ty này đã trưng ra các bằng chứng về một lỗi bảo mật xuất hiện trong ứng dụng nhắn tin trực tuyến MSN Messenger. Đây là lỗi bảo mật thuộc dạng “nghiêm trọng” thể hiện ở phương thức MSN Messenger xử lý dạng file hình ảnh PNG. Chi tiết về bản vá lỗi PNG được Microsoft đăng tải tại đây.
Stephen Toulouse, giám đốc kỹ thuật thuộc Trung tâm phản ứng bảo mật Microsoft chỉ trích hành động trưng mã nguồn lỗi bảo mật ra trước công chúng quá sớm của 2 công ty Finjan và Core là việc làm hết sức “vô trách nhiệm”. Sẽ có rất nhiều khách hàng của Microsoft không biết hoặc không đủ thời gian để cài đặt các bản vá lỗi và đây sẽ là cơ hội để hacker tung ra các cuộc tấn công. Toulouse nói:”Chúng tôi đang rất âu lo về việc hacker sẽ sử dụng các thông tin Finjan và Core đưa ra để tấn công khách hàng. Có thể trình bày trước công chúng các bằng chứng về lỗi bảo mật từ A đến B hoặc đến C, nhưng trưng bày ra đến tận Z thì lại là mục đích khác rồi!”.
Toulouse đã trích dẫn trường hợp của virus SQL Slammer chuyên tấn công vào cơ sở dữ liệu của máy chủ SQL của Microsoft, đây được xem là bằng chứng của việc các chuyên gia tạo virus lợi dụng các thông tin lỗi bảo mật đưọc tung ra quá sớm để tạo ra các virus chuyên đánh trọng điểm vào một mục tiêu duy nhất.
Microsoft khuyến cáo các chuyên gia bảo mật nên “kiên nhẫn” trước khi tung ra công chúng các bằng chứng về lỗi bảo mật và 90 ngày là thời hạn “chuẩn” tạm chấp nhận được để cộng đồng bảo mật tung ra công khai các phát hiện của mình.
Max Caceres, giám đốc điều hành sản phẩm của Core Security đã không chấp nhận việc làm của công ty mình là sai. Caceres cho biết rằng việc tung ra công khai các bằng chứng về các lỗi bảo mật mà Core phát hiện được chính là công việc “bình thường” của Core.