Microsoft phát hành bản vá lỗi VML sớm hai tuần

Hôm thứ ba, Microsoft lần thứ hai trong năm đã phá lệ, cung cấp bản vá lỗi sửa chữa lỗ hổng nghiêm trọng VML của Internet Explorer phát hiện hơn một tuần qua.

Bản vá lỗi có tên MS06-055, cung cấp cho cả IE 5.01 và IE 6.0, Microsoft khuyến cáo người sử dụng nên cập nhật ngay bản update này. Hãng phát triển Redmond, Wash nhận định đây là lỗ hổng nghiêm trọng, có sức tàn phá kinh khủng đối với Internet Explorer chạy trên Windows 2000, Windows XP và Windows Server 2003. Windows Server 2003 SP1 ít bị nguy hiểm hơn.

“Một kẻ tấn công khai thác thành công lỗ hổng này có thể hoàn toàn điều khiển được máy tính của bạn. Chúng có thể cài đặt chương trình, xem, thay đổi, xoá dữ liệu, hoặc tạo mới tài khoản với tất cả đặc quyền của người dùng”, thông tin trên bản tin của Microsoft cho hay.

Lỗ hổng này thường được gọi là VML (Vector Markup Language), một sự mở rộng của XML, định nghĩa các hình ảnh Web theo kiểu đồ hoạ vectơ. Được Sunbelt Software phát hiện và công bố lần đầu tiên vào hôm thứ ba tuần trước, lỗ hổng này nhanh chóng bị tận dụng để xây dựng số lượng lớn các adware, spyware và nhiều phần mềm độc hại malware khác. Cũng trong thời gian ngắn ngủi đó, nó được bổ sung vào WebAttacker, chương trình tấn công “khét tiếng” xuất phát từ Nga và được bán cho các hacker.

Mặc dù Microsoft thông báo rằng sẽ cung cấp bản vá lỗi trước hôm 10 tháng 10, nhưng hãng này không đưa ra bất kỳ tín hiệu nào cho thấy khả năng cung cấp bản update sớm như hiện nay. MS06-05 mới chỉ là bản vá lỗi thứ hai phá lệ nguyên tắc phát hành bản update vào “ngày thứ ba của tuần thứ hai trong tháng” của Microsoft. Bản phá lệ đầu tiên là vào ngày 5 tháng 1 cũng trong năm nay, sửa lỗi định dạng hình ảnh Windows Metafile.

Microsoft khuyến cáo rằng người dùng đã áp dụng các giải pháp khắc phục trước đó của Microsoft có thể không cần cài đặt bản vá lỗi vào thứ ba này. Đó có thể là một trong số các chương trình bảo vệ tạm thời khi công ty đang tiến hành xây dựng bản vá lỗi chính thức.

“Nếu bạn đã áp dụng giải pháp 'chỉnh sửa danh sách điều khiển truy cập trong Vgx.dll để hạn chế phần truy cập’ thì bản update bảo mật mới có thể sẽ không còn chính xác”, Microsoft nói. Họ khuyên người sử dụng trước hết hãy đảo ngược lại giải pháp bằng cách đặt lại Vgx.dll.

Đội phản ứng bảo mật của Microsoft cũng thông báo rằng bản update MS06-049 cung cấp hồi tháng 8 sẽ được thay thế bằng bản mới phát hành thứ ba vừa qua.