Microsoft sẽ vá 22 lỗi, trong đó có 3 lỗi zero-day

Microsoft cho biết sẽ phát hành 12 bản cập nhật bảo mật để vá 22 lỗ hổng trong IE, Windows, IIS và Visio.

Microsoft cũng thông báo, họ sẽ cung cấp 3 bản vá lỗi cho những lỗi họ đã thừa nhận, trong đó có 1 lỗi đã bị bọn tội phạm khai thác từ vài tuần nay. Theo ông Andrew Storms, Giám đốc các hoạt động bảo mật tại nCircle Security, việc 3 lỗi zero-day sẽ được vá là tin tức quan trọng nhất của lần này.

Trong số 3 lỗ hổng chưa được vá nhưng đã được thừa nhận, 1 lỗi xảy ra trong IE, lỗi thứ 2 trong việc trả về hình ảnh thu nhỏ (thumbnail) của Windows và lỗi thứ 3 là trong phần mềm máy chủ web IIS (Internet Information Server), của Microsoft.

Microsoft thừa nhận lỗi IE vào ngày 22/12/2010, vài tuần sau khi công ty bảo mật Vupen (Pháp) nói rằng tất cả các phiên bản IE (bao gồm cả IE8) đều bị tổn thương. Ngay sau đó, Microsoft cảnh báo người dùng rằng những kẻ tấn công đã khai thác lỗi.

Lỗ hổng Windows nằm trong việc trả về hình ảnh thu nhỏ bên trong thư mục của engine đồ họa. Lỗi này được tiết lộ hồi giữa tháng 12/2010 tại một hội nghị bảo mật ở Hàn Quốc, và Microsoft đã thừa nhận hôm 4/1/2011.

3/12 bản cập nhật sẽ tung ra được dán nhãn "nghiêm trọng" - mức đe dọa cao nhất theo đánh giá của Microsoft, trong khi 9 bản cập nhật còn lại được đánh dấu "quan trọng".

Đa số các bản cập nhật - 10/12 - ảnh hưởng đến Windows, với 1 trong số đó khắc phục lỗ hổng từ chối dịch vụ IIS 7.0, IIS 7.5 trong Windows 7 và Windows Server 2008 R2. 2 bản cập nhật khác sẽ sửa 1 hoặc nhiều lỗ hổng trong IE và Visio.

Microsoft sẽ phát hành 12 bản cập nhật vào khoảng 13h (giờ miền Đông nước Mỹ) ngày 8/2/2011.