Microsoft “đón kỳ nghỉ lễ” với 40 bản vá lỗi

Quản Trị Mạng - Con số bản cập nhật kỷ lục, vá các lỗ hổng IE nghiêm trọng, những lỗ hổng có thể bị khai thác qua các trình duyệt đối thủ.

>>> Apple vá nhiều lỗ hổng Safari nghiêm trọng
>>> Apple cập nhật Boot Camp và firmware cho MacBook

Thứ 3 vừa qua, Microsoft đã vá 40 lỗi trong Windows, Internet Explorer (IE), Office, SharePoint và Exchange.

5 trong số 17 cập nhật bảo mật – Microsoft gọi chúng là "bulletins" – chữa các lỗi có từ lâu đời có thể bị lợi dụng để truyền phát malware trên máy tính bằng cách “lừa” Windows nhận mã độc DLL là một phần hợp pháp của hệ điều hành.

Theo xếp hạng nguy hiểm nhất của Microsoft (hệ thống tính điểm 4 bước), chỉ 2 trong số 17 cập nhật được cho là nghiêm trọng. 14 cập nhật còn lại được đánh dấu là “important” – quan trọng, mức xếp hạng cao thứ 2, trong khi cập nhật còn lại được cho là “moderate” - vừa phải.

Như một số chuyên gia bảo mật khác, Microsoft hướng tập trung chủ yếu tới 2 bulletin nghiêm trọng nhất.

Andrew Storms, Giám đốc điều hành bảo mật tại nCircle Security cho biết: “Cả 2 lỗi MS10-090 và MS10-091 đều rất nghiêm trọng. Đánh giá của Microsoft có vẻ như đúng với những gì tôi mong đợi và cho thấy rằng họ khá công bằng và không có ưu tiên nào cả”.

Amol Sarwate, Giám đốc Phòng nghiên cứu bảo mật của Qualys Inc, cũng có chung quan điểm với Storms khi đặt 2 bản cập nhật này lên hàng đầu trong danh sách của mình.

Theo cố vấn của Microsoft, bản vá MS10-090 sẽ giúp vá 7 lỗ hổng trong IE, bao gồm 6 lỗ nghiêm trọng và 1 lỗ được đánh dấu vừa phải. Tất cả các phiên bản được hỗ trợ, bao gồm cả IE8, đều bị ảnh hưởng bởi ít nhất là một lỗ hổng. IE9, phiên bản vẫn đang trong giai đoạn thử nghiệm, không bị ảnh hưởng bởi 7 lỗ hổng này.

Trong số các lỗ hổng của IE đã được vá, 3 lỗ đã được phát hiện trước ngày hôm nay, và một lỗ hổng đã bị hacker khai thác ít nhất 6 tuần trước đây.

Microsoft sau đó đã xác nhận thông tin này vào ngày 3/11, nhưng vẫn không thể kiểm tra ngay lúc đó để tạo bản cập nhật bảo mật trong tháng.

MS10-091, là một bản cập nhật Windows, cũng ảnh hưởng tới các trình duyệt – nhưng không trực tiếp tới IE.

Thay vào đó, những kẻ tấn công có thể khai thác 3 lỗ hổng trong bản cập nhật – tất cả đều được đánh giá là nghiêm trọng – thông qua các trình duyệt không phải là của Microsoft có hỗ trợ định dạng font mã mở OpenType, khi nó lừa người dùng truy cập vào các trang có chứa mã độc.

Microsoft không liệt kê ra các trình duyệt bị ảnh hưởng, nhưng 4 trình duyệt web khác – Firefox, Chrome, Safari và Opera – đều hỗ trợ font Opentype.

Cho tới ngày hôm nay, vẫn chưa rõ ràng trong việc những trình duyệt này có cần phải vá riêng biệt hay không, và nếu như vậy thì bao giờ chúng sẽ được vá. Về phía mình, Microsoft nói rằng họ đã liên lạc với các nhà cung cấp trình duyệt kia để cho họ biết về lỗ hổng OpenType.

Đội bảo của Opera Software, đội đã cùng hợp tác với Microsoft phát hiện ra một trong số 3 lỗ hổng OpenType, cho rằng các trình duyệt khác không cần phải sửa.

Nhân viên của Opera, Thomas Ford phát biểu rằng: “Bản vá dành cho Opera là bản tham khảo của Microsoft [MS10-091], do nó không có khả năng để bảo vệ trình duyệt khỏi vấn đề này, ngoại trừ việc không kích hoạt webfont”.

Nhân viên của Mozilla cũng có ý kiến tương tự, trong khi Microsoft xác nhận rằng người dùng sử dụng Firefox, Chrome, Safari và Opera sẽ an toàn hơn khi họ áp dụng MS10-091.

IE không chịu ảnh hưởng của lỗ hổng này từ khi nó không hỗ trợ OpenType, mặc dù hacker có thể khai thác lỗ hổng bằng cách “lôi cuốn” người dùng điều hướng tớ một mạng mã độc hoặc folder WebDAV, sau đó hiển thị nội dung của chúng với Windows Explorer, tính năng quản lý file mặc định của hệ điều hành Windows.

Bản cập nhật khác, MS10-105, đã gây được sự chú ý của cả Sarwate và Jason Miller, trưởng nhóm dữ liệu và bảo mật của nhà cung cấp quản lý các bản vá Shavlik Technologies. 2 nhà nghiên cứu này cho rằng trong khi Microsoft đánh giá bản vá chỉ là quan trọng thì họ lại thấy chúng cũng quan trọng như những bản cập nhật dành cho IE và OpenType.

Sarwate nói: “Lỗ hổng đó cũng rất nghiêm trọng bởi tất cả những gì bạn cần là ai đó gửi cho mình một dữ liệu Office mã độc và bạn đã bị khai thác. Tôi không thể chờ bản vá này cho tới tận kì nghỉ lễ”.

Bản vá MS10-105 sẽ giúp vá 7 lỗ hổng trong Office XP và Office 2003 – không hỗ trợ các phiên bản mới hơn là Office 2007 và 2010.

Bên cạnh đó, Microsoft cũng vá 4 lỗ hổng cuối cùng của Windows đã bị notorious Stuxnet worm lợi dụng để thâm nhập vào hệ thống quản lý công nghiệp trong MS10-092.

5 bản cập nhật khác, từ MS10-093 tới MS10-097, đã vá một số mục của Windows gây ra những lỗi "DLL load hijacking”, những lỗ hổng được phát hiện từ hồi tháng 8 bởi các nhà nghiên cứu. Microsoft đã chỉ cung cấp một bản cập nhật đối với lỗi này trước đó, trong bộ sưu tập bản vá trong tháng 11.

Jerry Bryant, nhóm trưởng của Microsoft Security Response Center (MSRC), cho rằng: “Bản vá này sẽ giúp chữa tất cả các mục bị ảnh hưởng bởi vấn đề này. Tuy nhiên, chúng tôi sẽ không dừng lại ở đây và sẽ tiếp tục điều tra thêm.”

Miller, vẫn hoài nghi về việc liệu rằng vấn đề DLL load hijacking của Microsoft có kết thúc hay không. Tuy nhiên, ông vẫn tự tin rằng bản vá cập nhật lần sau sẽ cho kết quả khả quan hơn.

Miller nói: “Tôi không ngạc nhiên nếu Microsoft vá thêm nhiều sản phẩm khác (bởi lỗi DLL load hijacking) bởi họ còn rất nhiều vấn đề phải giải quyết. Tuy nhiên, tôi hy vọng rằng mọi việc sẽ được giải quyết vào tháng 1 tới”.

Số lượng bản cập nhật ra mắt hôm thứ 3 vừa qua là một kỷ lục trong tháng đối với Microsoft, trong khi con số 40 là mức cao thứ 2 cho tới nay, chỉ sau con số 49 của tháng 10.

Trong số 40 bản vá, 9 bản là nghiêm trọng, 29 bản quan trọng và 2 bản còn lại ở mức vừa phải.
Theo Bryant, một phần lý do của việc có số lượng lớn các bản cập nhật này là do Microsoft đang dọn dẹp những lỗ hổng đã được báo cáo còn tồn lại. Ông nói: “Chúng tôi làm việc từ những vấn nghiêm trọng nhất hiện tại”.

Khi nói về MS10-090 và MS10-091 như 2 bản vá đầu tiên, Bryant phát biểu thêm: “Chúng tôi vẫn khuyến cáo khách hàng cài đặt tất cả các bản cập nhật càng sớm càng tốt. Họ cũng có thể chờ đợi các bản cập nhật khác và ưu tiên triển khai chúng, nhưng có thể chỉ là sau kì nghỉ lễ”.

Phản ứng của các chuyên gia nghiên cứu bảo mật đối với khuyến cáo của Bryant.

Storms: “Tin tốt trong ngày là các bản vá đang bị khai thác đều trong tầm kiểm soát của khách hàng, đặt biệt là IE và các trình duyệt khác. Điều này cho thấy rằng không có một lỗ hổng nghiêm trọng nào trên các máy chủ. Các Admin có thể an tâm về điều này trong suốt kỳ nghỉ lễ”.

Các chuyên gia cũng đưa ra bình luận về con số kỷ lục bản cập nhật trong năm 2010 của Microsoft khi họ cung cấp 106 bulletins và vá 266 lỗ hổng trong năm nay: “Tôi đã gặp khó khăn trong việc nói từ 106. Nó dường như bất kì tháng nào trong năm nay đều quan trọng, lớn. Đó như một con số kỷ lục. Dẫu vậy, đây vẫn là điều chúng tôi mong muốn”.

Các nhà nghiên cứu khác cũng cho rằng, ngược lại với cái nhìn ban đầu, con số 106 bản cập nhật lại là một việc tốt, không hề xấu chút nào. Miller nói: “Tôi nghĩ đây là một dấu hiệu tốt. Chúng ta đang tìm ra các lỗ hổng, chúng ta đang vá lỗ hổng và giúp mọi người được an toàn hơn.”

Bản vá cập nhật tháng này có thể download và cài đặt thông qua các dịch vụ Microsoft Update và Windows Update, cũng như thông qua Windows Server Update Services.