Microsoft phủ nhận lỗi zero-day mới trong Office

Microsoft đã lên tiếng phủ nhận 3 lỗi bảo mật zero-day mới trong bộ ứng dụng Office đồng thời một lần nữa lên án cách công bố thông tin về các lỗi bảo mật.

Đúng ngày Microsoft cho phát hành bản cập nhật định kỳ hàng tháng hôm thứ 3 vừa qua một loạt website của các hãng bảo mật đều lên tiếng cảnh báo về 4 lỗi bảo mật mới trong các sản phẩm của Microsoft. Trong số này có 3 lỗi được xem là lỗi zero-day trong Word 2007.

Trong tuyên bố phát đi ngày hôm qua (11/4) Microsoft khẳng định Office 2007 không hề mắc những lỗi trên.

Hãng phần mềm số một thế giới cũng cho biết họ không hề nhận được thông báo nào trước khi thông tin về những lỗi đó được tiết lộ. Không chỉ Microsoft mà cả ngành công nghiệp bảo mật thường lên án phương thức cung cấp thông tin kiểu này.

Chuyên gia tư vấn công nghệ cao cấp của Sophos Graham Cluley cho biết đã có ít nhất 2 website phát tán mã khai thác trước khi những thông tin về lỗi được gửi tới cho Microsoft.

Thông tin đăng tải trên website Security Vulnerabilities cho biết hai trong số 3 lỗi được gán cho Word 2007 có thể gây ra tình trạng mức độ sử dụng CPU vọt lên 100% tạo điều kiện tấn cống từ chối dịch vụ. Lỗi còn lại có thể tạo điều kiện cho phép kẻ tấn công từ xa thực thi mã độc trên hệ thống mắc lỗi.

Lỗi bảo mật thứ 4 được phát hiện trong đợt này thuộc về định dạng tệp tin "hlp" trong Windows. Lỗi này có thể gây ra tình trạng tràn bộ nhớ đệm. Microsoft xác nhận lỗi này và cho biết thêm chuẩn "hlp" là một chuẩn định dạng không an toàn có thể bị lợi dụng để vận hành mã.

Microsoft khuyến cáo người dùng không nên mở các tệp tin ".hlp" được gửi đến từ các email có nguồn gốc không rõ ràng.

Các chuyên gia nghiên cứu bảo mật cho rằng hiện số lượng các lỗi bảo mật trong hệ điều hành Windows đang ngày một ít đi thì hacker sẽ chuyển sang khai thác các lỗi bảo mật trong các sản phẩm khác của Microsoft.

Hoàng Dũng