Tìm thấy lỗ hổng trong Office 2007

Các chuyên gia nghiên cứu đã phát hiện ra một lỗi bảo mật có mức độ nghiêm trọng cao (highly critical) trong phần mềm Office 2007 mới được phát hành, mặc cho các nỗ lực của Microsoft nhằm đưa ra phiên bản phần mềm văn phòng an toàn nhất.

Microsoft Office 2007 vẫn chưa an toàn được như mong đợi

Phiên bản Office 2007 dành cho người tiêu dùng, mới chỉ ra mắt 4 tuần trước, được lập trình để chống lại sự “dòm ngó” gắt gao hơn của những kẻ viết mã độc hại. Microsoft đã giao phần mềm này cho các chuyên gia kiểm duyệt mã, như một phần trong chu kỳ phát triển bảo mật phần mềm của hãng.

Tuy nhiên, các chuyên gia nghiên cứu của công ty bảo mật eEye Digital Security đã tìm thấy một lỗ hổng định dạng văn bản trong Microsoft Office Publisher 2007. Lỗ hổng này có thể bị người ngoài khai thác để chạy các đoạn mã trên máy tính bị hại.

Ross Brown, giám đốc điều hành của eEye, phát biểu: “Chúng tôi rất bất ngờ với việc phát hiện ra một lỗi nhanh đến vậy (4 tuàn sau khi Office 2007 được tung ra) và lại là lỗi của một trong số những sản phẩm “đinh” của Microsoft”.

Ông này cho rằng kẻ tấn công có thể tạo ra một file Publisher độc hại. Một khi “nạn nhân” mở file này, anh ta sẽ thấy hệ thống của mình bị lây nhiễm và dễ dàng bị tấn công từ xa.

Brown còn bổ sung rằng, các chuyên gia nghiên cứu của eEye đã sử dụng một quy trình kiểm duyệt mã tiêu chuẩn để phát hiện ra các lỗ hổng. Ông này lưu ý: Microsoft đã không thực hiện tốt quy trình kiểm duyệt mã, hoặc cũng có thể họ không có đủ người tiến hành những việc như thế này.

Trong khi đó, Microsoft cho biết họ đang điều tra báo cáo của eEye về lỗ hổng có thể xảy ra trong Publisher 2007 và sẽ cung cấp cho người sử dụng những hướng dẫn bổ sung nếu cần thiết.

Các nhà lãnh đạo của “gã khổng lồ phần mềm” gần đây mới cho hay họ luôn trông đợi những thách thức đối với hệ thống bảo mật tiếp tục nổi lên, khi mà ngày cang có nhiều thiết bị kết nối Internet.

eEye cho biết, hiện vẫn chưa có báo cáo công khai về lỗi này trong quá trình lưu hành của Publisher 2007, có thể là do Office 2007 mới chỉ được phát hành trong thời gian ngắn và lỗ hổng này không “hấp dẫn” lắm đối với các tin tặc, những kẻ chỉ thích tập trung vào phần mềm được phân phối ở quy mô lớn hơn.

Nguyễn Nam