Microsoft phát hành bản vá lỗi khẩn cấp cho IE

Đêm nay (17/12) Microsoft sẽ chính thức phát hành bản cập nhật sửa lỗi khẩn cấp để bít lỗ hổng chết người mới được phát hiện trong Internet Explorer và đang bị tin tặc lợi dụng để tấn công người dùng trong hơn một tuần qua.

Dự kiến bản cập nhật sẽ được phát hành vào lúc 13 giờ ngày 17/12/2009 theo múi giờ Eastern Time Zone – tức múi giờ được áp dụng cho khu vực bờ biển phía Đông Bắc Mỹ. Nếu quy đổi sang giờ Hà Nội (Việt Nam) thì bản cập nhật sẽ được phát hành vào lúc 1 giờ sáng ngày 18/12/2009.

Bản cập nhật được Microsoft xếp vào mức “cực kỳ nguy hiểm” – tức là mức cao nhất trong chiếc thang 4 bậc đánh giá mức độ nguy hiểm của lỗi bảo mật được khắc phục trong bản vá.

Song mặc dù như thế nhưng Microsoft vẫn tỏ ra khá xem thương nguy cơ mà lỗi bảo mật này mang lại. “Tại thời điểm hiện tại mã khai thác mới chỉ có thể tấn công duy nhất phiên bản Internet Explorer 7,” Christopher Budd – người phát ngôn của Microsoft – cho biết.

Trên thực tế hầu như tất cả các phiên bản Internet Explorer – gồm IE5.01, IE6 và cả phiên bản mới nhất IE8 Beta 2 – cũng đều mắc lỗi này. Mã khai thác được tung lên mạng trong khoảng một tuần trước đây chỉ có tác dụng duy nhất với IE7.

Lỗi nguy hiểm trong Internet Explorer lần này vô tình được một nhóm nghiên cứu bảo mật Trung Quốc tung lên các diễn đàn trực tuyến trong nước bởi họ nghĩ rằng Microsoft đã cho khắc phục cùng với bản cập nhật định kỳ tháng 12. Song không ngờ đây lại là một lỗi chưa hề được biết đến trong IE.

Cuối tuần qua Microsoft cũng thừa nhận số lượng các vụ tấn công IE thông qua việc lợi dụng lỗi bảo mật này đang gia tăng rất mạnh. Theo ước tính của McAfee hiện đã có hơn 6.000 webiste độc hại có chứa mã khai thác lỗi IE.

Cũng trong ngày hôm qua Microsoft thừa nhận lỗi IE nói trên hoàn toàn có thể được khai thác thông qua Outlook Express bởi ứng dụng gửi nhận email này cũng sử dụng động cơ tái hiện nội dung HTML của trình duyệt IE. Tin tặc hoàn toàn có thể tấn công người dùng bằng cách gửi cho họ một email dạng HTML độc hại cấy sẵn mã khai thác.

Đây là bản cập nhật sửa lỗi khẩn cấp thứ hai được Microsoft phát hành trong hai tháng trở lại đây. Cuối tháng 10 vừa qua hãng đã phải cho phát hành một bản cập nhật khẩn cấp cho một dịch vụ (service) Windows Server cũng đang bị tin tặc lợi dụng để tấn công người dùng.

Bản cập nhật lần này sẽ vẫn được phát hành chủ yếu qua cơ chế tự động cập nhật Automatic Updates và Windows Updates. Người dùng nên thiết lập để hệ điều hành tự động tải về và cài đặt là đơn giản và nhanh nhất để tránh các nguy cơ bị tấn công.