Thêm hai lỗ hổng mới trong Windows

Microsoft ngày hôm qua (07/02) đã cảnh báo người sử dụng về hai lỗ hổng bảo mật mới trong hệ điều hành Windows khiến người sử dụng phải đứng trước các nguy cơ bị tin tặc tấn công.

Lỗi bảo mật thứ nhất là một lỗi bảo mật mới trong định dạng tệp tin hình ảnh Windows Meta File (WMF). Đây đã là lỗi bảo mật thứ hai có liên quan đến định dạng tệp tin này trong hệ điều hành Windows được phát hiện ra trong thời gian gần đây. Lần này, lỗ hổng bảo mật này liên qua đến cách mà các phiên bản trình duyệt Internet Explorer cũ vận hành trên nền tảng Windows Millennium Edition và Windows 2000 xử lý các tệp tin hình ảnh WMF “ác ý” của tin tặc.

Lỗi bảo mật này chỉ tồn tại trong phiên bản IE 5.01 Service Pack 4 chạy trên nền tảng Windows 2000 và IE 5.5 Service Pack 2 chạy trên nền tảng Windows ME.

Người sử dụng hoàn toàn có thể bị tấn công thông qua các lỗ hổng bảo mật này nếu họ vào xem các bức ảnh “độc hại” do tin tặc sáng tạo nên trên một trang web bất kỳ nào đó hay trên email, thậm trí là trên cả một ứng dụng duyệt ảnh số. “Nếu một kẻ tấn công ác ý nào đó khai thác thành công lỗi bảo mật này thì hắn sẽ có thể chiếm toàn bộ quyền kiểm soát hệ thống bị tấn công,” Microsoft cho biết trong một bản tin khuyến cáo bảo mật mới phát hành.

Mặc dù lỗi bảo mật WMF được phát hiện trong lần này có vẻ giống với các lỗi bảo mật có liên quan đến định dạng tệp tin hình ảnh WMF trước đây trong Windows nhưng bản chất của vấn đề lại khác. Trong tháng trước Microsoft đã phải rất vất vả để sửa lỗ hổng bảo mật trong cơ chế tái hiện tệp tin WMF - lỗi bảo mật này có thể được lợi dụng để cài đặt các phần mềm gián điệp lên máy tính của người sử dụng mà họ không hề biết.

Để khắc phục lỗi bảo mật này Microsoft khuyến cáo người sử dụng nên cập nhật trình duyệt lên phiên bản Internet Explorer 6 Service Pack 1 đồng thời trong thời gian tới hãng cũng sẽ cho ban hành một bản vá lỗi bảo mật này.

In a second security advisory, Microsoft warned of a problem with overly permissive access controls in Windows XP and Windows Server 2003. The problem exists only in versions that do not have the latest service packs installed, the company said.

Trong khi đó lỗi bảo mật thứ hai lại chỉ ảnh hưởng đến các phiên bản hệ điều hành Windows XP và Windows Server 2003 không được cài đặt các bản Service Pack mới nhất. Đây là lỗi bảo mật liên quan đến quyền hạn truy cập hệ thống. Nếu bị khai thác thành công thì một tài khoản người sử dụng với các quyền hạn bị hạn chế trên nền tảng các hệ điều hành trên vẫn có thể chạy được các ứng dụng hay lệnh đòi hỏi quyền hạn truy cập cao hơn. Microsoft khuyến cáo người sử dụng nên cài đặt Service Pack 2 cho Windows XP và Service Pack 1 cho Windows Server 2003 để bảo vệ hệ thống.

Trong khi đó cũng chỉ mới ngày thứ 3 vừa qua Microsoft thông báo cho biết hãng này đang tiến hành điều tra một lỗi bảo mật khác trong HTML Help Workshop. Như vậy thêm hai lỗ hổng bảo mật mới nhất này thì chỉ tính riêng trong tuần qua Windows đã mắc tới ba lỗi bảo mật nghiêm trọng.

Bản cập nhật vá lỗi “ngày thứ 3” tiếp theo của Microsoft sẽ được ban hành vào ngày 14/02 tới đây. Ngày mai Microsoft sẽ cho tiết lộ thông tin về những lỗi sẽ được sửa trong bản vá lần này.