Sau hơn 1 năm “nghiên cứu”, cuối cùng Microsoft cũng chuẩn bị tung ra bản vá cho lỗ hổng Video ActiveX Control, cho phép tin tặc thực hiện các cuộc tấn công nguy hiểm nhờ khai thác vào trình duyệt Internet Explorer.
“Video ActiveX Control… rắc rối hơn chúng tôi tưởng”
Lỗi ActiveX là 1 trong ba bản vá nghiêm trọng nhất sẽ được Microsoft phát hành trong tuần tới.
Các chuyên gia an ninh cho biết lỗ hổng nguy hiểm này đã ảnh hưởng trực tiếp đến hệ điều hành Windows XP and Server 2003, mở đường cho tin tặc thực thi các cuộc tấn công Trojan ăn cắp thông tin bằng cách lừa người truy cập vào những trang web độc hại trên trình duyệt IE.
Mấy tuần gần đây, các chuyên gia đã phát hiện ra các cuộc tấn công khai thác từ lỗi ActiveX trên hàng trăm nghìn website của Trung Quốc và cả website đại sứ của Nga ở Mỹ.
Tuy nhiên, điều đáng nói là Microsoft đã mất hơn 1 năm để khắc phục lỗ hổng này.
Mike Reavey, GD Trung tâm phản ứng nhanh của Microsoft, giải thích trên blog của hãng rằng tính phức tạp của vấn đề đã khiến gã khổng lồ này mất quá nhiều thời gian để nghiên cứu.
Microsoft nhận được cảnh báo lần đầu tiên vào mùa xuân năm 2008. Nhưng việc phát hiện ra lỗ hổng ActiveX đã thật sự rất khó khăn và ngoài tầm kiểm soát hơn những gì họ nghĩ. Hơn nữa, “người ta đã không dùng chức năng ActiveX Control trên IE và nó đã bị mặc định vô hiệu hóa trên hệ điều hành Windows Vista”.
“Thực tình nếu chức năng này quá phổ biến thì chúng tôi đã nhanh chóng tìm thấy căn nguyên của nó”, ông Reavey nói.
Và ông này cũng cho biết, Microsoft đã khuyến khích người dùng nên tắt tính năng ActiveX Control rắc rối này khi sử dụng IE để tránh phiền phức.
“Một thời gian dài nghiên cứu đã giúp chúng tôi cảm thấy thoải mái hơn khi giúp người dùng bảo vệ chính mình trong bản tin an ninh sắp tới. Chúng tôi đã thiết lập để bản vá sẽ tự động vô hiệu hóa lỗ hổng nguy hiểm này”, Reavey chia sẻ.
Vì sao Microsoft quá chậm trễ?
Ông Reavay giải thích rằng nhóm nghiên cứu của Microsoft phải dành nhiều thời gian để điều tra về lỗ hổng này bởi trước đó, hãng đã yêu cầu người dùng tắt chức năng ActiveX trong IE. Họ không muốn phát hành bản vá vì nó có thể sẽ làm hỏng các ứng dụng khác của người dùng.
“Khi chúng tôi vô hiệu hóa hay gỡ bỏ chức năng này, chúng tôi buộc phải nghiên cứu và thử nghiệm kỹ hơn”, vị giám đốc này cho biết. “Bởi chúng tôi biết nếu làm điều này nó sẽ vừa ảnh hưởng đến các ứng dụng của Microsoft vừa tác động đến các chương trình của bên thứ 3”.
Vì thế, theo ông, nếu các phần mềm chính của người dùng bị hư hỏng, họ sẽ không tiến hành nâng cấp - tạo cơ hội cho tin tặc lấy cắp thông tin để tấn công.
Microsoft cho hay những người dùng đã tiến hành tắt chức năng ActiveX thì không cần thiết phải cài bản vá sắp tới.
Tại sao Microsoft mất 1 năm vá lỗi cực kỳ nguy hiểm?
385
Bạn nên đọc
-
5 cách khởi chạy nhanh chương trình trên Windows
-
Shazam kỷ niệm cột mốc bài hát thứ 100 tỷ được nhận dạng cùng nhiều kỷ lục ấn tượng khác
-
Chạy Linux từ ổ USB Flash
-
Crucial ra mắt mẫu SSD Gen4 NVMe mới giúp Windows khởi động nhanh hơn Samsung, WD
-
Microsoft ngừng hỗ trợ DRM cũ trên Windows Media Player, Windows 7/8, Silverlight
-
Khắc phục kết nối Internet sau khi bị nhiễm virus
0 Bình luận
Sắp xếp theo
Xóa Đăng nhập để Gửi
Cũ vẫn chất
-
Hướng dẫn sử dụng Photoshop cho người mới
Hôm qua 3 -
Cách hiển thị Preview Pane của File Explorer trên Windows 10/11
Hôm qua -
Build Talon DTCL mùa 7, đồ chuẩn Talon Sát Thủ Bang Hội
Hôm qua -
Code Giang Hồ Hiệp Ảnh VTC mới nhất 12/2024
Hôm qua -
Cách tạo thiệp Giáng sinh đẹp trực tuyến
Hôm qua -
Lịch thi đấu, kết quả ĐTDV Mùa Xuân 2023 mới nhất 29/12/2024
Hôm qua -
Công thức tính chiều cao hình thang: thường, vuông, cân
Hôm qua -
Cách sửa lỗi AutoCAD bị giật, lag
Hôm qua -
Các kiểu dữ liệu trong SQL Server
Hôm qua 1 -
5 cách ghi chú trên Windows 11 không cần tải phần mềm
Hôm qua