Microsoft xác nhẫn lỗi “zero-day” trong Visual Studio

Microsoft ngày hôm qua đã xác nhận một lỗi bảo mật cực kỳ nghiêm trọng tồn tại trong Microsoft Visual Studio 2005 đã bị lợi dụng trong các vụ tấn công “zero-day”. Nhà sản xuất cho biết lỗi bảo mật này có thể bị lợi dụng để từ xa thực thi các mã độc trên hệ thống mắc lỗi.

Song song bên cạnh việc xác nhận thông tin, Microsoft đã phát hành một bản tin cảnh báo bảo mật và giải pháp tạm thời để giúp người dùng hạn chế nguy cơ bị tấn công.

“Mã độc hại có thể tấn công lỗi bảo mật trong Visual Studio 2005 đã được tung lên mạng và đã được sử dụng trong một số vụ tấn công zero-day,” Microsoft xác nhận trong bản tin cảnh báo bảo mật.

Lỗi bảo mật trong Visual Studio 2005 bắt nguồn từ một lỗi chưa được xác định trong đối tượng WMI Object Broker ActiveX Control (WmiScriptUtils.dll). Đây là đối tượng được dùng trong WMI Wizard để thuyết minh tác dụng của các đối tượng điều khiển khác.

Microsoft khẳng định kẻ tấn công có thể lợi dụng lỗi bảo mật nói trên để chiếm toàn bộ quyền điều khiển hệ thống mắc lỗi. Thủ đoạn lợi dụng lỗi bảo mật này để tấn công như sau: Kẻ tấn công sẽ tạo ra một trang web độc và sử dụng kỹ thuật “social engineering” để lừa người dùng truy cập vào trang web đó. Mã độc gắn trực tiếp trên website đó sẽ đột nhập vào hệ thống thông qua lỗi bảo mật Visual Studio, cho phép kẻ tấn công chiếm quyền điều khiển hệ thống mắc lỗi.

Microsoft khuyến cáo người dùng Visual Studio 2005 nên cấu hình để trình duyệt Internet Explorer cảnh báo mỗi khi chạy một Active Scripting hoặc vô hiệu hoá hoàn toàn tính năng này khi cấu hình cho mạng Internet và mạng Local.

Visual Studio 2005 là một môi trường phát triển tích hợp với những bộ công cụ tuyệt vời giúp cho các chuyên gia phần mềm có thể lập trình phần mềm, website, ứng dụng web hay dịch vụ web một cách vô cùng hiệu quả. Phiên bản mới nhất Visual Studio đã được tích hợp các loại ngôn ngữ lập trình như Visual Basic, Visual C++, Visual C# và Visual J#.

Hoàng Dũng