Microsoft không vá lỗi Word 2000

Ngày hôm qua, Microsoft đã phát hành cập nhật bảo mật định kỳ hàng tháng nhằm khắc phục 3 lỗi bảo mật nghiêm trọng trong các sản phẩm của hãng.

Những lỗi bảo mật cần được vá nhất trong ứng dụng Word 2000 lại không có trong danh sách các lỗi được khắc phục lần này.

Đây là lỗi bảo mật thực sự nghiêm trọng vì nó đã bị lợi dụng để tấn công người dùng trong thời gian qua. Trong khi đó, mới gần đây Microsoft tuyên bố là hãng đang phát triển bản cập nhật vá lỗi bảo mật này và sẽ phát hành cùng với bản cập nhật bảo mật tháng 9.

"Lỗi bảo mật này giống với lỗi bảo mật trong ứng dụng Microsoft Publisher nằm trong bộ phần mềm Office 200, Office XP và Office 2003. Chúng tôi đã cho khắc phục những lỗi bảo mật này," Microsoft khẳng định trong bản tin MS06-054.

Microsoft cho biết để có thể khai thác thành công lỗi bảo mật trong Word 2000 hoặc trong Microsoft Publisher, kẻ tấn công phải tạo ra các tệp tin độc hại và lừa người dùng chúng ra. "Nếu khai thác thành công kẻ tấn công có thể chiếm toàn bộ quyền kiểm soát hệ thống bị nhiễm," Microsoft khẳng định. "Chúng tôi khuyến cáo người dùng nên cài đặt các bản vá lỗi càng sớm càng tốt".

Trong số hai lỗi bảo mật Windows được khắc phục lần này có một lỗi bảo mật có thể bị tin tặc khai thác để từ xa chiếm quyền điều khiển hệ thống bị mắc lỗi. Đây là lỗi bảo mật liên quan đến thủ tục trao đổi dữ liệu trong Windows XP. Kẻ tấn công có thể khai thác lỗi bảo mật này bằng cách gửi những gói tin dữ liệu đặc biệt đến hệ thống bị nhiễm thông qua thủ tục PMG (Pragmatic General Multicast). Đây là một phần trong công nghệ Microsoft Message Queuing v3.0.

Trong khi đó, lỗi bảo mật còn lại có thể bị lợi dụng để khai thác và ăn cắp thông tin của người dùng. Đây là lỗi XSS (cross-site scripting) tồn tại trong dịch vụ Microsoft Indexing Service. Để khai thác lỗi bảo mật này kẻ tấn công cần phải cho chạy các đoạn mã trên hệ thống bị mắc lỗi. Đoạn mã này đóng vai trò thu thập dữ liệu và gửi về cho kẻ tấn công khi người dùng truy cập vào một trang web nào đó.

Hiện người dùng đã có thể tải về các bản cập nhật bảo mật thông qua trang web của Microsoft hoặc thông qua tính năng Automatic Updates của hệ điều hành.

Hoàng Dũng