Quản trị mạng - Hôm nay Microsoft tiết lộ rằng họ sẽ phát hành 6 bản cập nhật bảo mật vào thứ ba tới, chưa bằng một nửa số bản vá được tung ra vào lần vá định kỳ trong tháng 11 (13 bản), để vá một số lỗ hổng trong Windows và Office.
Trên blog của Security Response Center (Trung tâm chuyên trách bảo mật) Microsoft cho biết 6 bản vá này sẽ vá tổng số 15 lỗ hổng khác nhau.
Ông Andrew Storm, giám đốc điều hành bảo mật của nCircle Network Security, mỉa mai “6 là một con số may mắn trong tháng này. Bất kì con số nào nhỏ hơn 13 cũng đều may mắn cả.”
Tháng trước, Microsoft đã phát hành 13 bản vá bảo mật vá tổng cộng 34 lỗ hổng, đạt cả kỉ lục về số lượng bản vá và số lượng lỗ hổng kể từ khi ‘gã khổng lồ phần mềm’ bắt đầu phát hành các bản cập nhật tháng trong hơn 6 năm qua.
Tuy nhiên, 6 bản cập nhật bảo mật này sáng ngang với kỉ lục về số lượng bản vá phát hành vào tháng 11 qua các năm, thông thường tháng 11 là một tháng nhàn rỗi của Microsoft trong vài năm trở lại đây. Ví dụ, trong tháng 11 năm 2006 Microsoft cũng đã phát hành 6 bản cập nhật bảo mật. Trong khi đó, vào tháng 11 năm 2007 và 2008 họ chỉ phải tung ra vỏn vẹn hai bản. Đặc biệt, trong tháng 11 năm 2005 chỉ có duy nhất một bản cập nhật được phát hành.
Trong số 6 bản cập nhật này có ba bản được Microsoft đánh giá là critical, mức cao nhất trong hệ thống đánh giá gồm 4 mức, và ba bản còn lại được đánh giá là important, mức dưới mức critical. Bốn trong số 6 bản cập nhật sẽ dành cho một hay nhiều ấn bản của hệ điều hành Windows hay Windows Server, hai bản cập nhật còn lại sẽ dành cho Office, đặc biệt là Word và Excel.
Do không có bản báo cáo bảo mật chính thức nào được Microsoft công bố nên Storms không nắm rõ được đối tượng sẽ được vá trong lần cập nhật này. Ông nhận định rằng các bản cập nhật được đánh giá là critical sẽ chỉ vá Windows Vista và Windows Server 2008. Ông giải thích “Trước đây, chúng ta đã dự đoán sẽ có một bản vá dành cho Vista cũng tác động tới XP, và thậm chí có thể là Windows 7.”
Không có bản cập nhật nào trong thứ 3 tới được dành cho Windows 7- hệ điều hành mới được Microsoft chính thức phát hành, hay hệ điều hành Windows Server 2008 R2 - phần mềm dành cho máy chủ. Tháng trước Microsoft đã phải phát hành những bản vá đầu tiên cho bản Windows 7 chính thức.
Storms nhận xét “Không có bản vá nào dành cho Windows 7. Mọi việc vẫn tốt đẹp đến thời điểm này.” Tuy nhiên ông cho rằng Microsoft cần phải theo dõi Windows 7. Ông tiếp “Sẽ tốt hơn nếu Microsoft công bố lỗi trong Windows 7 và sửa ngay trong giai đoạn phát triển, nhưng họ vẫn quay lại sửa lỗi trong các hệ điều hành trước.”
Người dùng cần lưu ý một bản cập khác cũng sẽ phát hành vào tuần tuần tới được Microsoft đặt tên là Bulletin 3 trong Advance Notification, lời cảnh báo trước hàng tháng chỉ cho biết những thông tin sơ lược nhất.
Bản cập nhật đó (cũng được đánh giá là critical) sẽ dành cho mọi phiên bản từ Windows 2000 tới Windows Vista và Windows Server 2008. Storms nhận định “Tôi nghĩ bản cập nhật số ba là bản cần đặc biệt lưu ý trong tuần tới.”
Một nhà nghiên cứu khác cũng đồng tình với nhận định này của Storms. Trong một email, Sheldon Malm, giám đốc chiến lược bảo mật của Rapid7, nói rằng “Bulletin 3 sẽ là bản cập nhật cần được sử dụng đầu tiên trong tháng này. Người dùng cần xác định các phiên bản Windows đang được sử dụng trong hệ thống để có thể lên kế hoạch thử nghiệm và cài đặt sớm nhất có thể.”
Hai bản cập nhật dành cho Office (đều được đánh gái là important) sẽ vá một số lỗ hổng trong Word và Excel. Bản cập nhật đầu tiên sẽ vá lỗ hổng cho Word 2002 và Word 2003 trên hệ điều hành Windows; và Word 2004, Word 2008 trên hệ điều hành Mac. Mặt khác, bản cập nhật dành cho Excel sẽ vá một hoặc nhiều lỗ hổng trong Excel 2002, Excel 2003 và Excel 2007 trên Windows, Excel 2004 và Excel 2008 trên Mac.
Hôm nay Storms nói rằng “Các bản cập nhật Office rất đáng được chú ý, nhưng những gì mà Microsoft gửi tới chúng ta ngày hôm nay, tôi nghĩ rằng đây là những lỗi trong định dạng file mà tất cả chúng ta đều biết.”
Những lỗ hổng trong định dạng file của Office là một “kho báu” của những kẻ đã thực hiện khai thác trong nhiều năm qua. Đầu tuần này, Microsoft đã lên tiếng thừa nhận rằng hầu hết các cuộc tấn công nhằm vào Office trong nửa đầu năm 2009 là để khai thác một lỗ hổng duy nhất mà Microsoft đã vá từ tháng 6 năm 2006.
Storms cho biết đây là tháng thứ hai Microsoft công bố số lượng bản cập nhật sẽ được phát hành và số lượng lỗ hổng sẽ được vá. Ông nhận xét “Thông tin này khá hữu dụng, nó giúp ích khá nhiều cho tiến trình lên kế hoạch vì 6 bản vá có thể sẽ là 6 lỗ hổng hoặc nhiều hơn.”
Microsoft sẽ phát hành 6 bản cập nhật bảo mật này vào khoảng 1 giờ chiều ngày 11 tháng 11 (theo giờ phương Đông).
Trên blog của Security Response Center (Trung tâm chuyên trách bảo mật) Microsoft cho biết 6 bản vá này sẽ vá tổng số 15 lỗ hổng khác nhau.
Ông Andrew Storm, giám đốc điều hành bảo mật của nCircle Network Security, mỉa mai “6 là một con số may mắn trong tháng này. Bất kì con số nào nhỏ hơn 13 cũng đều may mắn cả.”
Tháng trước, Microsoft đã phát hành 13 bản vá bảo mật vá tổng cộng 34 lỗ hổng, đạt cả kỉ lục về số lượng bản vá và số lượng lỗ hổng kể từ khi ‘gã khổng lồ phần mềm’ bắt đầu phát hành các bản cập nhật tháng trong hơn 6 năm qua.
Tuy nhiên, 6 bản cập nhật bảo mật này sáng ngang với kỉ lục về số lượng bản vá phát hành vào tháng 11 qua các năm, thông thường tháng 11 là một tháng nhàn rỗi của Microsoft trong vài năm trở lại đây. Ví dụ, trong tháng 11 năm 2006 Microsoft cũng đã phát hành 6 bản cập nhật bảo mật. Trong khi đó, vào tháng 11 năm 2007 và 2008 họ chỉ phải tung ra vỏn vẹn hai bản. Đặc biệt, trong tháng 11 năm 2005 chỉ có duy nhất một bản cập nhật được phát hành.
Trong số 6 bản cập nhật này có ba bản được Microsoft đánh giá là critical, mức cao nhất trong hệ thống đánh giá gồm 4 mức, và ba bản còn lại được đánh giá là important, mức dưới mức critical. Bốn trong số 6 bản cập nhật sẽ dành cho một hay nhiều ấn bản của hệ điều hành Windows hay Windows Server, hai bản cập nhật còn lại sẽ dành cho Office, đặc biệt là Word và Excel.
Do không có bản báo cáo bảo mật chính thức nào được Microsoft công bố nên Storms không nắm rõ được đối tượng sẽ được vá trong lần cập nhật này. Ông nhận định rằng các bản cập nhật được đánh giá là critical sẽ chỉ vá Windows Vista và Windows Server 2008. Ông giải thích “Trước đây, chúng ta đã dự đoán sẽ có một bản vá dành cho Vista cũng tác động tới XP, và thậm chí có thể là Windows 7.”
Không có bản cập nhật nào trong thứ 3 tới được dành cho Windows 7- hệ điều hành mới được Microsoft chính thức phát hành, hay hệ điều hành Windows Server 2008 R2 - phần mềm dành cho máy chủ. Tháng trước Microsoft đã phải phát hành những bản vá đầu tiên cho bản Windows 7 chính thức.
Storms nhận xét “Không có bản vá nào dành cho Windows 7. Mọi việc vẫn tốt đẹp đến thời điểm này.” Tuy nhiên ông cho rằng Microsoft cần phải theo dõi Windows 7. Ông tiếp “Sẽ tốt hơn nếu Microsoft công bố lỗi trong Windows 7 và sửa ngay trong giai đoạn phát triển, nhưng họ vẫn quay lại sửa lỗi trong các hệ điều hành trước.”
Người dùng cần lưu ý một bản cập khác cũng sẽ phát hành vào tuần tuần tới được Microsoft đặt tên là Bulletin 3 trong Advance Notification, lời cảnh báo trước hàng tháng chỉ cho biết những thông tin sơ lược nhất.
Bản cập nhật đó (cũng được đánh giá là critical) sẽ dành cho mọi phiên bản từ Windows 2000 tới Windows Vista và Windows Server 2008. Storms nhận định “Tôi nghĩ bản cập nhật số ba là bản cần đặc biệt lưu ý trong tuần tới.”
Một nhà nghiên cứu khác cũng đồng tình với nhận định này của Storms. Trong một email, Sheldon Malm, giám đốc chiến lược bảo mật của Rapid7, nói rằng “Bulletin 3 sẽ là bản cập nhật cần được sử dụng đầu tiên trong tháng này. Người dùng cần xác định các phiên bản Windows đang được sử dụng trong hệ thống để có thể lên kế hoạch thử nghiệm và cài đặt sớm nhất có thể.”
Hai bản cập nhật dành cho Office (đều được đánh gái là important) sẽ vá một số lỗ hổng trong Word và Excel. Bản cập nhật đầu tiên sẽ vá lỗ hổng cho Word 2002 và Word 2003 trên hệ điều hành Windows; và Word 2004, Word 2008 trên hệ điều hành Mac. Mặt khác, bản cập nhật dành cho Excel sẽ vá một hoặc nhiều lỗ hổng trong Excel 2002, Excel 2003 và Excel 2007 trên Windows, Excel 2004 và Excel 2008 trên Mac.
Hôm nay Storms nói rằng “Các bản cập nhật Office rất đáng được chú ý, nhưng những gì mà Microsoft gửi tới chúng ta ngày hôm nay, tôi nghĩ rằng đây là những lỗi trong định dạng file mà tất cả chúng ta đều biết.”
Những lỗ hổng trong định dạng file của Office là một “kho báu” của những kẻ đã thực hiện khai thác trong nhiều năm qua. Đầu tuần này, Microsoft đã lên tiếng thừa nhận rằng hầu hết các cuộc tấn công nhằm vào Office trong nửa đầu năm 2009 là để khai thác một lỗ hổng duy nhất mà Microsoft đã vá từ tháng 6 năm 2006.
Storms cho biết đây là tháng thứ hai Microsoft công bố số lượng bản cập nhật sẽ được phát hành và số lượng lỗ hổng sẽ được vá. Ông nhận xét “Thông tin này khá hữu dụng, nó giúp ích khá nhiều cho tiến trình lên kế hoạch vì 6 bản vá có thể sẽ là 6 lỗ hổng hoặc nhiều hơn.”
Microsoft sẽ phát hành 6 bản cập nhật bảo mật này vào khoảng 1 giờ chiều ngày 11 tháng 11 (theo giờ phương Đông).