Thêm một lỗi zero-day "chết người" trong Word

Hôm 10/12, Microsoft lại phải xác nhận thêm một lỗi bảo mật zero-day nữa trong Word 2003. Đây là lỗi bảo mật thứ hai được phát hiện trong Word chỉ trong vòng chưa đến một tuần lễ.

Microsoft cho biết lỗi bảo mật này có thể bị tin tặc lợi dụng để từ xa đoạt quyền truy cập vào hệ thống sử dụng các phiên bản Word mắc lỗi như Word 2000, Word 2002, Word 2003 và Word Viewer 2003. Riêng Word 2007 không mắc lỗi này.

"Theo những kết quả nghiên cứu ban đầu chúng tôi xác nhận đây là một lỗi bảo mật hoàn toàn mới. Tuy nhiên, khả năng lỗi này bị lợi dụng khai thác tấn công mục tiêu là tương đối hạn chế".

Hãng bảo mật Secunia hôm qua đã quyết định dán nhãn lỗi bảo mật này ở mức độ "cực kỳ nguy hiểm" bởi đây là lỗi vẫn chưa được khắc phục và đã bị tin tặc lợi dụng khai thác để tấn công người dùng.

Theo Secunia, lỗi bảo mật mới trong Word phát sinh từ một lỗi trong quá trình xử lý các tệp tin của ứng dụng. Một số người cho rằng lỗi này tương đối giống với lỗi tràn bộ nhớ đệm đã được hãng bảo mật eEye phát hiện trước đó.

Nhưng Microsoft khẳng định lỗi bảo mật này hoàn toàn khác với lỗi bảo mật trong Word đã được phát hiện từ cuối tuần trước.

Để có thể khai thác lỗi bảo mật này kẻ tấn công phải lừa người dùng mở một tệp tin Word độc hại được lưu trữ trên một trang web nào đó hoặc được gửi kèm theo email.

Microsoft hiện chưa công bố bất kỳ kế hoạch nào về việc khắc phục lỗi bảo mật này.

Hoàng Dũng