Microsoft vá lỗ hổng nguy hiểm trong IE và DirectX

Microsoft vừa đưa ra các bản vá lỗi cho một số sản phẩm của hãng này nhằm khắc phục những sai sót chết người trong trình duyệt IE, DirectX và phần mềm không dây Bluetooth dành cho Windows.

Microsoft cũng đồng thời công bố các bản nâng cấp ít quan trọng hơn dành cho các sản phẩm máy chủ để khắc phục các lỗi trong Active Directory, Windows Internet Name Service (WINS) và giao thức Pragmatic General Multicast (PGM) - được Windows sử dụng để phát nội dung media đến người nhận.

Bản tin nâng cấp vào tháng này (10/6) bao gồm 7 bản nâng cấp, vá tổng cộng 10 lỗi trong các sản phẩm Microsoft.

Người dùng PC được khuyến cáo nên nhanh chóng cài đặt các bản vá lỗi nghiêm trọng IE và DirectX càng sớm càng tốt. Một số lỗ hổng trong các bản vá này có thể bị khai thác trong các cuộc tấn công dựa trên nền Web. Kẻ tấn công sẽ dụ dỗ nạn nhân truy cập vào một trang web độc hại rồi sau đó khai thác lỗi để cài đặt phần mềm độc hại vào máy tính Windows.

Lỗ hổng Bluetooth (MS09-030) cũng được Microsoft xếp ở mức nghiêm trọng (mức cảnh báo cao nhất). Tuy nhiên, để khai thác lỗ hổng này, kẻ tấn công cần phải có nhiều thông tin về hệ máy Windows để gửi các gói Bluetooth độc hại tới nạn nhân.

Một trong hai lỗi được vá trong bản nâng cấp MS08-031 dành cho IE thực ra đã được công bố từ tháng giêng đầu năm. Kẻ tấn công có thể lợi dụng lỗ hổng này để truy cập trái phép vào dữ liệu lưu trên trình duyệt.

Một lỗi khác liên quan tới thành phần Microsoft Speech API cũng được công khai từ trước, cho phép người dùng Windows có thể vận hành máy tính thông qua các lệnh thoại. Năm ngoái, các nhà nghiên cứu đã phát hiện ra rằng họ có thể thực hiện các tác vụ như xóa file trên máy tính Windows nhờ sử dụng công nghệ này. Lỗ hổng có thể kích hoạt từ xa tới máy tính nạn nhân thông qua các lệnh thoại.

Microsoft đã vá lỗ hổng Speech API trong bản nâng cấp MS08-032. Còn lỗ hổng thứ 2 nằm trong thành phần điều khiển ActiveX (MS08-033) được cấp phát theo phần mềm Logitech Desktop Manager (LDM).

LDM quản lý các thiết bị Logitech kiểu như camera web lại chứa một phần mềm có tên là BackWeb Web Package ActiveX. Khi nạn nhân chạy phần mềm LDM mà ghé thăm một website độc hại thì kẻ tấn công (về lý thuyết) có thể lợi dụng lỗ hổng để chạy chương trình độc hại trên PC nạn nhân.

Các ứng dụng bên thứ ba kiểu như Logitech Desktop Manager cũng là nguồn cơn của nhiều sai sót bảo mà người dùng Windows phải gánh chịu. Trước đây, các nhà nghiên cứu từng phát hiện ra một loạt lỗ hổng lớn trong các sản phẩm Apple QuickTime, Adobe Flash và các trình chơi media, có thể cho phép kẻ tấn công chạy phần mềm độc hại trên máy nạn nhân.