Microsoft phát hành 6 bản cập nhật vá 12 lỗ hổng

Quản trị mạng - Hôm qua, Microsoft đã vá tổng số 12 lỗ hổng trong hệ điều hành Windows, Office và ứng dụng trình duyệt Internet Explorer, trong đó bao gồm ba lỗ hổng được đánh giá critical trong phiên bản ứng dụng trình duyệt mới nhất, Internet Explorer 8.

Trong tổng số 12 lỗ hổng được vá bởi 6 bản cập nhật phát hành vào hôm qua, có tới 7 lỗ hổng được dánh giá là critical, mức nguy hiểm cao nhất trong hệ thống đánh giá gồm 4 mức của Microsoft. Bốn lỗ hổng còn lại được đánh giá là important, dưới mức critical trên hệ thống đánh giá, trong khi đó lỗ hổng còn lại chỉ được đánh giá ở mức moderate (trung bình).

Các nhà nghiên cứu bảo mật đều nhất trí cho rằng bản cập nhật MS09-072, bản cập nhật vá 5 lỗ hổng trong Internet Explorer, cần nhận được sự quan tâm hàng đầu.

Ông Andrew Storms, giám đốc điều hành bảo mật tại nCircle Network Security, khẳng định “Đó chắc chắn là bản cập nhật cần lưu ý. Sự quan tâm dành cho bản cập nhật Internet Explorer này là không bao giờ thừa. Nó vá rất nhiều lỗ hổng.”

Richie Lai, giám đốc bộ phận nghiên cứu lỗ hổng của công ty bảo mật Qualys, cũng đồng tính với Storms khi nói rằng “Bản cập nhật MS09-072 dành riêng cho ứng dụng trình duyệt Internet Explorer, đây là một ứng dụng tiềm ẩn nguy cơ tấn công lớn nhất, và những lỗ hổng xuất hiện trong đó rất có thể sẽ bị các cuộc tấn công chiếm quyền điều khiển cổ điển khai thác.”

Jason Miller, trưởng nhóm dữ liệu và bảo mật của nhà cung cấp giải pháp quản lý bản vá Shavlik Technologies, cũng nhấn mạnh rằng “Rõ ràng chúng ta cần phải lưu ý tới bản cập nhật này. Thông thường ứng dụng trình duyệt là mục tiêu thường bị tin tặc tấn công, hình thức tấn công này là phổ biến nhất.”

Một trong số 5 bản vá trong bản cập nhật dành cho Internet Explorer được dùng để vá lỗ hổng Zero-day mà Microsoft xác nhận vào tháng trước sau khi mã tấn công mẫu khai thác lỗ hổng trong trình phân tách bố cục của Internet Explorer được phát tán.

Storms đánh giá cao phản ứng nhanh nhạy của Microsoft trước lỗ hổng này. Bổ sung vào ý kiến cho rằng Microsoft thường phải mất ít nhất một tháng từ thời điểm phát hiện lỗ hổng để tung ra bản vá, ông nhận xét “Đây là một thời gian kỉ lục mà Microsoft đã đạt được, chỉ vỏn vẹn có hai tuần.” Đề cập tới lời khen ngợi của Microsoft dành cho VeriSign iDefense, công ty phát hiện lỗ hổng Zero-day, Storms nhận đình rằng “Mùa mua sắm trực tuyến đang đến gần đã làm tăng áp lực lên Microsoft, tuy nhiên, rất có thể Microsoft đã biết về lỗ hổng này trước khi nó được công bố.”

Storms, Lai và Miller nói rằng, mọi dự đoán đã được làm sáng tỏ trong ngày hôm qua, trong số 5 lỗ hổng của Internet Explorer được vá bởi bản cập nhật MS09-072, có tới ba lỗ hổng tác động tới phiên bản Internet Explorer 8. Hai trong số ba lỗ hổng này chỉ xuất hiện trong IE8 còn các phiên bản khác không hề bị tác động.

Đề cập tới các lỗ hổng trong IE8, Storms nói “Các kĩ sư của Microsoft cũng tỏ ra thất vọng không kém về những lỗ hổng này. Vấn đề là ở chỗ tại sao hai lỗ hổng lại chỉ xuất hiện trong IE8. Rất dễ lí giải trong trường hợp cả IE8 và IE7 đều chứa chúng, như trường hợp của lỗ hổng thứ ba. Hai lỗ hổng đó khiến chúng ta phải hồ nghi về hiệu quả của Security Development Lifecycle của Microsoft.” Security Development Lifecycle (SDL – Chu kỳ phát triển bảo mật) là một thuật ngữ được Microsoft sử dụng để đặt tên cho tiến trình phát triển chú trọng vào quá trình kiểm tra bảo mật như một phần của tiến trình phát triển phần mềm.

Storms nói “Những lỗ hổng này có thể xuất hiện trong mã mới hoặc mã cữ, tuy nhiên chúng ta khó có thể biết vị trí chúng được đưa vào trong tiến trình này.”

Thậm chí, cả Storms, Lai và Miller đều cho rằng lỗi này nằm trong mã mới mà Microsoft viết cho IE8. Lai nhận định “Tôi cho rằng lỗi này nằm trong những tính năng mới. Microsoft đã phát hành rất nhiều bản cập nhật HTML dành cho IE8 để đạt chuẩn, do đó tôi chắc chắn rằng những lỗ hổng này nằm trong mã mới của IE8.”

Storms lưu ý rằng “Những tính năng mới đồng nghĩa với việc nhiều mã cần được kiểm tra, và rất có thể một thành phần nào đó đã bị bỏ qua. Có thể mã cũ đã được kiểm tra kĩ lưỡng hơn.”

Miller nói “Đôi khi mã cũ bị loại bỏ khỏi một ứng dụng, và mã mới sẽ được sử dụng thay thế. Do đó những lỗ hổng này chắc hẳn nằm trong mã hoàn toàn mới và những tính năng mới của IE8.”

Trong khi đánh giá chỉ số có thể khai thác của 4 trong 5 lỗ hổng là “1”, Microsoft cảnh báo rằng rất có thể tin tặc sẽ tiến hành khai thác những lỗ hổng được vá trong ngày hôm qua. Điều này có nghĩa là những mã tấn công mạnh có thể sẽ xuất hiện trong vòng 30 ngày nữa.

5 bản cập nhật bảo mật còn lại (vá 7 lỗ hổng khác, trong đó có 2 lỗ hổng được đánh giá là critical) cũng được Storms chú ý. Đề cập tới yêu cầu cần có quyền truy cập được thẩm định để thực hiện một phương thức tấn công duy nhất qua mạng Wifi, Storms nói “Tất cả những lỗ hổng còn lại này có thể làm suy yếu tiến trình thẩm định quyền.”

Amol Sarwate, trưởng nhóm nghiên cứu lỗ hổng của Qualys, không tán thành với ý kiến này của Storms. Ông nhấn mạnh “Bản cập nhật MS09-070 cần nhận được sự quan tâm.” Bản cập nhật này vá hai lỗ hổng trong Active Directory, một thành phần đặc biệt quan trọng trong các phần mềm dành cho doanh nghiệp của Microsoft.

Wolfgang Kandek, giám đốc công nghệ của Qualys, lại cho rằng cần bổ sung bản bản cập nhật MS09-073 vào danh sách các bản cập nhật cần cài đặt ngay. Bản cập nhật này vá lỗ hổng xuất hiện trong WordPad, một trình soạn thảo văn bản nhỏ được tích hợp trong mọi phiên bản Windows, và các công cụ chuyển đổi văn bản được ứng dụng Office sử dụng để phân tách các tài liệu Word 97.

Kandek nhận xét “Mặc dù những lỗ hổng trong định dạng file thường không nguy hiểm, tuy nhiên mọi người dùng Windows đều có thể sử dụng WordPad. Tuy việc viết mã khai thác không hề đơn giản những cũng không quá rắc rối.”

Các nhà nghiên cứu nhận xét rằng điểm đáng lưu ý trong lần vá này chính là khả năng miễn dịch của hệ điều hành mới nhất của Microsoft, Windows 7. Miller nói “Ngoại trừ những lỗ hổng trong Internet Explorer 8, không có bản cập nhật nào dành cho Windows 7. Đây cũng là một dấu hiệu đáng mừng.”

Tuy nhiên, Miller lưu ý rằng thời điểm này vẫn là quá sớm để đánh giá mức độ thành công về bảo mật của Windows 7. Ông nói “Cần nhớ rằng Vista cũng đã như vậy khi được phát hành.”

Ngoài các bản cập nhật bảo mật, hôm qua Microsoft còn phát hành hai bản hướng dẫn bảo mật cung cấp cho người dùng và quản trị viên hệ thống những hướng dẫn chi tiết để bảo vệ Windows trước những phương thức tấn công đã được phát hiện, hay những phương thức thường xuyên được sử dụng trước đây.

Người dùng có thể tải và cài đặt các bản cập nhật qua dịch vụ Microsoft Update và Windows Update, cũng như qua Windows Server Update Services.
Thứ Tư, 09/12/2009 09:40
51 👨 493