Quản trị mạng - Hôm nay Microsoft cho biết công ty sẽ phát hành năm bản vá bảo mật vào thứ 3 tới để vá những lỗ hổng bảo mật cho hệ điều hành Windows, tất cả những lỗ hổng này đều được đánh giá ở mức critical – mức cao nhất trong tháng đánh giá gồm 4 mức của Microsoft.
Ông Andrew Storms, giám đốc điều hành bảo mật của nCircle Network Security, nói rằng không như những tháng trước, Microsoft thường cung cấp thông tin về những bản cập nhật sắp được giới thiệu, nhưng lần này Microsoft không tiết lộ bất kì thông tin gì về những bản cập nhật sẽ được tung ra vào thứ 3 tới đây.
Storms nói “Đó là một lời cảnh báo không rõ ràng. Tôi không biết nói gì vào lúc này khi họ không tiết lộ bất cứ thông tin gì.”
Nhưng Storms vẫn dự đoán “Có thể chúng ta sẽ thấy một bản cập nhật ATL khác liên quan đến lỗ hổng trong Active Template Library (ATL)", một thư viện code của Microsoft mà công ty này và các nhà cung cấp chương trình nhóm ba sử dụng để phát triển phần mềm.
Microsoft đã biết những lỗ hổng trong thư viện ATL từ tháng 7 khi họ phát hành hai bản vá khẩn cấp vá 6 lỗi trong nhiều sản phẩm khác nhau. Kể từ đó, gã khổng lồ phần mềm và một số nhà cung cấp khác, gồm cả Adobe, đã tung ra nhiều bản vá bổ sung cho những phần mềm sử dụng thư viện ATL chứa nhiều lỗi này.
Storms nhận xét rằng “Cũng chẳng có gì ngạc nhiên nếu Microsoft tiếp tục phải vá lỗi trong thư viện ATL. Dẫu vậy tôi cho rằng có thể chúng ta sẽ phải đón nhận nhiều bản vá từ các nhà cung cấp ứng dụng nhóm ba hơn những bản vá từ Microsoft.”
Cả năm bản cập nhật bảo mật được ấn định phát hành vào thứ 3 tuần tới đều được đánh giá ở mức rất nguy hiểm, và cả 5 lỗ hổng này được cho là tác động tới nhiều phiên bản khác nhau của hệ điều hành Windows (cả máy trạm và máy chủ). Storms nói “Tôi nghĩ bạn có thể nói ngay rằng họ đang cố gắng vá 5 lỗ hổng cho Windows, và có thể họ sẽ vá 4 lỗ hổng cho Windows Vista và lỗ hổng còn lại cho Windows Server 2008.”
Khi Storms nói rằng 4 trong số 5 bản cập nhật sẽ được dành cho Windows Vista thì cả 4 lỗ hổng này đều được xếp ở mức cao nhất trong tháng đánh giá mức độ nguy hiển của Microsoft, trong khi đó lỗ hổng nguy hiểm còn lại xuất hiện trong Windows Server 2008, phiên bản dành cho máy chủ mới nhất của Microsoft. Ba trong số những bản cập nhật dành cho hệ điều hành máy chủ này được xếp ở mức thứ hai (important) trong tháng đánh giá 4 mức độ của Microsoft.
Ngoài ra, hệ điều hành Windows 2000, Windows XP và Windows Server 2003 cũng nhận được một số bản cập nhật vào trong đợt cập nhật tháng 9 này.
Storms nói “Chúng ta không nghĩ rằng lỗ hổng xuất hiện trên những hệ điều hành mới của Microsoft lại được đánh giá ở mức critical. Và cũng thật lạ khi tất cả những lỗ hổng này lại chỉ xuất hiện trong các hệ điều hành Windows.”
Storms cho rằng Microsoft sẽ không vá lỗ hổng mới được phát hiện trong máy chủ Web Internet Information Services (IIS). Ông nói sau khi đọc hai bài viết phủ nhận nguồn tin cho rằng lỗ hổng trong IIS 5.0, 5.1 và 6.0 sẽ được vá vào tuần tới.
Mặc dù Microsoft cam kết sẽ vá lỗ hổng trong IIS vào một thời điểm khác, nhưng một số nhà phân tích lại cho rằng rất có thể Microsoft cũng sẽ vá những lỗ hổng này vào thứ 3 tới.
5 bản vá dự định phát hành vào tuần tới sẽ nối tiếp 9 bản được đưa ra vào ngày 11 tháng 8, hai bản vá khẩn cấp hồi cuối tháng 7 và 6 bản được tung ra vào ngày 14/07 (thời điểm vá định kì trong tháng 7 của Microsoft).
Microsoft sẽ phát hành 5 bản cập nhật bảo mật vào khoảng 13h ngày mùng 8 tháng 9 (theo giờ phương Đông).
Ông Andrew Storms, giám đốc điều hành bảo mật của nCircle Network Security, nói rằng không như những tháng trước, Microsoft thường cung cấp thông tin về những bản cập nhật sắp được giới thiệu, nhưng lần này Microsoft không tiết lộ bất kì thông tin gì về những bản cập nhật sẽ được tung ra vào thứ 3 tới đây.
Storms nói “Đó là một lời cảnh báo không rõ ràng. Tôi không biết nói gì vào lúc này khi họ không tiết lộ bất cứ thông tin gì.”
Nhưng Storms vẫn dự đoán “Có thể chúng ta sẽ thấy một bản cập nhật ATL khác liên quan đến lỗ hổng trong Active Template Library (ATL)", một thư viện code của Microsoft mà công ty này và các nhà cung cấp chương trình nhóm ba sử dụng để phát triển phần mềm.
Microsoft đã biết những lỗ hổng trong thư viện ATL từ tháng 7 khi họ phát hành hai bản vá khẩn cấp vá 6 lỗi trong nhiều sản phẩm khác nhau. Kể từ đó, gã khổng lồ phần mềm và một số nhà cung cấp khác, gồm cả Adobe, đã tung ra nhiều bản vá bổ sung cho những phần mềm sử dụng thư viện ATL chứa nhiều lỗi này.
Storms nhận xét rằng “Cũng chẳng có gì ngạc nhiên nếu Microsoft tiếp tục phải vá lỗi trong thư viện ATL. Dẫu vậy tôi cho rằng có thể chúng ta sẽ phải đón nhận nhiều bản vá từ các nhà cung cấp ứng dụng nhóm ba hơn những bản vá từ Microsoft.”
Cả năm bản cập nhật bảo mật được ấn định phát hành vào thứ 3 tuần tới đều được đánh giá ở mức rất nguy hiểm, và cả 5 lỗ hổng này được cho là tác động tới nhiều phiên bản khác nhau của hệ điều hành Windows (cả máy trạm và máy chủ). Storms nói “Tôi nghĩ bạn có thể nói ngay rằng họ đang cố gắng vá 5 lỗ hổng cho Windows, và có thể họ sẽ vá 4 lỗ hổng cho Windows Vista và lỗ hổng còn lại cho Windows Server 2008.”
Khi Storms nói rằng 4 trong số 5 bản cập nhật sẽ được dành cho Windows Vista thì cả 4 lỗ hổng này đều được xếp ở mức cao nhất trong tháng đánh giá mức độ nguy hiển của Microsoft, trong khi đó lỗ hổng nguy hiểm còn lại xuất hiện trong Windows Server 2008, phiên bản dành cho máy chủ mới nhất của Microsoft. Ba trong số những bản cập nhật dành cho hệ điều hành máy chủ này được xếp ở mức thứ hai (important) trong tháng đánh giá 4 mức độ của Microsoft.
Ngoài ra, hệ điều hành Windows 2000, Windows XP và Windows Server 2003 cũng nhận được một số bản cập nhật vào trong đợt cập nhật tháng 9 này.
Storms nói “Chúng ta không nghĩ rằng lỗ hổng xuất hiện trên những hệ điều hành mới của Microsoft lại được đánh giá ở mức critical. Và cũng thật lạ khi tất cả những lỗ hổng này lại chỉ xuất hiện trong các hệ điều hành Windows.”
Storms cho rằng Microsoft sẽ không vá lỗ hổng mới được phát hiện trong máy chủ Web Internet Information Services (IIS). Ông nói sau khi đọc hai bài viết phủ nhận nguồn tin cho rằng lỗ hổng trong IIS 5.0, 5.1 và 6.0 sẽ được vá vào tuần tới.
Mặc dù Microsoft cam kết sẽ vá lỗ hổng trong IIS vào một thời điểm khác, nhưng một số nhà phân tích lại cho rằng rất có thể Microsoft cũng sẽ vá những lỗ hổng này vào thứ 3 tới.
5 bản vá dự định phát hành vào tuần tới sẽ nối tiếp 9 bản được đưa ra vào ngày 11 tháng 8, hai bản vá khẩn cấp hồi cuối tháng 7 và 6 bản được tung ra vào ngày 14/07 (thời điểm vá định kì trong tháng 7 của Microsoft).
Microsoft sẽ phát hành 5 bản cập nhật bảo mật vào khoảng 13h ngày mùng 8 tháng 9 (theo giờ phương Đông).