Làng Công nghệ Tổng hợp

Microsoft chính thức phát hành các bản vá lỗi mới, sửa 26 lỗ hổng

Các lỗ hổng, hơn một nửa được đánh giá là nghiêm trọng, từ Windows Explorer tới Internet Explorer, từ Word, Excel tới PowerPoint.

Đúng theo kế hoạch Microsoft đã phát hành 10 bản update bảo mật vào hôm thứ ba vừa qua (10/10), ít hơn một so với dự kiến ban đầu. Mười bản update thực hiện vá 26 lỗi trong Windows, Office và .Net. Hơn một nửa trong số đó được các chuyên gia phát triển của hãng đánh giá là “nghiêm trọng”.

Ngay sau khi các bản vá lỗi được phát hành, người ta đã thực hiện một cuộc đánh giá xếp loại với kết quả khá ấn tượng: 6 trong số 10 bản update được xếp vào mức cao nhất trong các mức đánh giá: quan trọng (1), vừa phải (2) và mức thấp (3). Trong số 26 lỗ hổng, 15 được xếp vào mức “nghiêm trọng”, 6 quan trọng, 2 vừa phải và 3 thấp. Toàn bộ lỗ hổng, gồm cả các lỗ hổng nghiêm trọng đều được đưa vào danh sách chương trình vá lỗi hàng tháng của Microsoft.

Rất phong phú!”, Minoo Hamilton, chuyên gia nghiên cứu của chương trình quản lý sửa chữa lỗ hổng ở nCircle nói. “Có đầy đủ mọi thứ, từ Windows Explorer tới Internet Explorer, cả Word, Excel và PowerPoint”.

Những lỗ hổng được đánh giá ở mức nghiêm trọng cần phải được chú ý đặc biệt. “Chúng có khả năng bị khai thác từ xa. Trong một số trường hợp còn khai thác trên toàn bộ hệ điều hành”, Hamilton nói.

Một số bản sửa các lỗi đang bị hacker khai thác triệt để như MS06-057 (còn được biết đến với cái tên WebViewFolderIcon) từ cuối tháng 9. Một số lỗ hổng đã từng được biết đến rầm rộ thời gian qua như MS06-058 trong Microsoft Office PowerPoint và MS06-060 trong Microsoft Word cũng đã được sửa.

Thực tế các lỗ hổng trong bộ Office chiếm tới 62% tổng số lỗ hổng được vá và 86% lỗ hổng nghiêm trọng. Bộ Office của Microsoft bị đặt lên tầm ngắm từ hồi tháng 5, khi một lỗ hổng Word được sửa. Từ đó đến nay, nó trở thành đối tượng đoán mò của các “thầy bói” công nghệ hàng tháng.

Những kẻ tấn công có khuynh hướng khai thác lỗ hổng trong các ứng dụng để bàn hơn là trong cơ sở hạ tầng mạng”, Oliver Friedrichs - đội trưởng đội phản ứng bảo mật nhanh của Microsoft nói trong một e-mail. “Số lượng lỗ hổng Microsoft Office trong tháng này cho thấy khuynh hướng tấn công nổi trội đó của những kẻ tấn công. Người dùng cần đặt vấn đề cài dặt các bản vá lỗi này ở mức hết sức quan trọng”.

Các lỗ hổng Office trở thành đích nhắm lợi hại cho những kẻ tấn công, Don Leatham – giám đốc bộ phận giải pháp và chiến lược ở Patchlink bổ sung. “Cộng đồng hacker bây giờ tăng cường xu hướng tạo ra càng nhiều mạng botnet càng tốt, và cách dễ nhất là khai thác bộ phận người dùng cuối của doanh nghiệp. Số lượng lỗ hổng trong Office minh chứng cho điều đó”.

Tất cả bản update Office không chỉ có hiệu quả trên các phiên bản Windows khác nhau mà còn có tác dụng cả trên hệ điều hành Mac Office 2004 cũng như Mac Office v.X. Người dùng Mac có thể cập nhật từ trong bộ bảo mật hoặc download các bản vá phù hợp tại website Mactopia của Microsoft.

Tuy nhiên bản update mà cả Leatham và Hamilton của nCircle cho rằng xứng đáng ở vị trí số một trong bảng xếp hạng không phải là một trong bốn bản dành cho Office, mà là MS06-061, một sửa chữa cho bộ phân tích ngôn ngữ XML và các dịch vụ lõi XML bên trong Windows. Bản cập nhật nghiêm trọng này, nói như các nhà nghiên cứu, nên được vá ngay lập tức.

Lỗi tràn bộ đệm XSLT cũng mang tính nghiêm trọng toàn diệna trong Windows 2000, XP và Server 2003”, Hamilton bổ sung. “Đây là lỗ hổng tuyệt vời cho hoạt động phishing và hacking web do tính chất phổ biến của XML và tính chất khai thác dễ dàng”.

Leatham đồng ý: “Lỗ hổng này ảnh hưởng cực kỳ, cực kỳ lớn tới chúng ta. Đó là lỗ hổng bị khai thác căn bản được những kẻ tấn công ưa chuộng. Chỉ cần kích vào một link độc hại, bạn đã bị tấn công”.

Thêm một vấn đề nữa là sự thiếu thốn các giải pháp hay yếu tố có thể tối thiểu hoá nguy cơ đe doạ. Microsoft không có cách nào hơn là cung cấp các bản vá lỗi và cảnh báo người dùng chỉ lên lướt web ở những website đáng tin cậy.

Tất cả mọi điều kẻ tấn công thực hiện được là xây dựng một trang web, dụ dỗ người dùng vào, và nếu chương trình XML được kích hoạt, các mã tràn bộ đệm và mã từ xa có thể bị download vào máy tính mà người dùng không biết”, Leatham tiếp lời.

Những bản tin khác trên website của Microsoft đưa ra hôm thứ ba bác bỏ các lỗi trong Server service, giao thức TCP/IP phổ biến tiếp theo, IPv6 và .Net Framework 2.0. Không có bản update nào được đánh dấu cao hơn bảng xếp loại các đe doạ quan trọng thứ hai từ trên xuống của Microsoft.

Một bản update đã bị bỏ qua trong đợt phát hành chính thức hôm thứ ba. Trong thông cáo thường lệ vào hôm thứ năm trước khi phát hành bản vá lỗi, Microsoft nói rằng hãng sẽ phát hành 11 bản vá lỗi, 6 trong số đó dành cho Windows. Nhưng thực tế chỉ có 10 bản, và dành cho Windows chỉ có 5 bản.

Chúng tôi tìm thấy một vấn đề trong quá trình kiểm tra cuối cùng sau buổi thông báo hôm thứ năm. Vấn đề này nằm trong một bản update của Windows Updates. Do đó chúng tôi loại bỏ nó khỏi chương trình phát hành chính thức”, một phát ngôn viên công ty giải thích. “Bản này sẽ sẵn sàng trong vòng phát hành tiếp theo

Microsoft có lý do để do dự, Hamilton nói. Trước đó Hamliton đã chú ý hãng sẽ phải phát hành lại bản update trong một thời gian ngắn. Chất lượng của lô tháng 8 đặc biệt tệ hại. Microsoft đã phải cung cấp lại ba bản update khác trong tháng đó với một bản phải sửa lại hai lần.

Người dùng có thể cập nhật các bản vá lỗi Tuesday theo chương trình update tự động (Automatic Update) của Microsoft, hay từ dịch vụ Microsoft Update, các dich vụ, phần mềm Microsoft khác như Windows Server Update Services (WSUS) và Software Update Services (SUS) dành cho doanh nghiệp.

Thứ Tư, 11/10/2006 12:18
31 👨 121

Bạn nên đọc

0 Bình luận
Sắp xếp theo
❖
Xóa Đăng nhập để Gửi

    Có thể bạn quan tâm

    ❖ Tổng hợp