Những điều nên biết về lỗ hổng IE mới nhất

Microsoft đã phát hành phiên bản Internet Explorer mới nhất (IE 7) thời gian gần đây. Khắc phục được một số sự cố trong IE 6, nhưng bản thân IE 7 cũng không tránh khỏi sai sót. Người ta đã nhanh chóng phát hiện một lỗ hổng bảo mật trong IE7. Hiện nó đang trở thành chủ đề nóng hổi trong giới truyền thông IT cũng như người sử dụng và quan tâm tới Internet. Chúng tôi xin cung cấp cho các bạn nội dung hiểu biết về lỗ hổng IE mới nhất này, thông qua một số câu hỏi và trả lời phổ biến nhất.

1.Vấn đề ở đây là gì?

Một lỗ hổng mới được phát hiện trong Microsoft Internet Explorer cho phép kẻ tấn công tiếp quản máy đích, ngay cả khi máy này có các bản cập nhật IE mới nhất.

2. Nó được gọi là gì?

Trong danh sách thăm dò của dự án CVE (Common Vulnerabilities and Exposures), lỗ hổng được đặt tên là CVE-2006-4868. McAfee thì gọi nó là Exploit-VMLFill; Trend Micro thì gọi là EXPL_EXECOD.A; Symantec gọi là Trojan.Vimalov, vì nguồn gốc của lỗ hổng này có thể từ Nga. Hãng SecurityForcus gán nó một mã ID Bugtraq: 20098.

3.Các chương trình và phiên bản hệ điều hành nào bị ảnh hưởng?

Theo báo cáo của Internet Security Systems lỗ hổng này ảnh hưởng tới tất cả các phiên bản IE, bao gồm cả bản hỗ trợ VML. Các chương trình kiểm tra chủ yếu diễn ra trên phiên bản 6.0, nhưng thực tế cả bản 5.0 cũng bị ảnh hưởng. Cho đến giờ vẫn chưa có báo cáo nào nghiên cứu về hoạt động tấn công trên IE 7. Phiên bản mới của Outlook và Outlook Express cũng bị lỗi giống như các phiên bản và gói dịch vụ trong Windows 2000 và Windows XP.

(Trong Windows 2003, IE chạy mặc định trên một môi trường giới hạn. Các hoạt động nhị phân và script không được sử dụng. Nếu các thiết lập đó bị thay đổi, hệ thống có thể sẽ bị lỗi).

4. Các máy sử dụng hệ điều hành Mac, Linux và Unix có bi ảnh hưỏng không? Còn về Firefox thì sao?

Câu trả lời là: Không, không và không. (Một số người ủng hộ FireFox quá khích còn loan báo rộng rãi qua các comment trên SunbeltBlog rằng lỗ hổng này không giành được bất cứ chiến thắng nào trong các cuộc tranh cãi nói chung).

5. Lỗ hổng bị khai thác như thế nào?

Lỗ hổng này được tìm thấy một cách tự nhiên trên một số website của Nga, hầu hết là các website khiêu dâm. Rồi được truyền bá theo một số con đường, nhiều nhất là qua e-mail, dịch vụ gửi tin nhắn IM hay các liên kết HTML. Người dùng sẽ bị tấn công nếu kích phải một liên kết HTML nhiễm độc. Những người sử dụng Outlook và Outlook Express tự động mở HTML cũng nằm trong tình trạng nguy hiểm của lỗ hổng này.

6. Trình tự khai thác cụ thể diễn ra như thế nào?

Các cựu binh bảo mật chắc hẳn sẽ rất ngạc nhiên khi biết rằng đây lại là một lỗ hổng tràn bộ đệm khác.

Khi một bộ đệm bị ngập đầy và tràn dữ liệu, chương trình tấn công tiếp tục đẩy mã ngoài JavaScript vào bộ đệm tiếp theo. Mã nguồn download một phần malware và ghi nó vào ổ cứng như là một file “CPU.exe”. Sau đó thường thì Internet Explorer sẽ bị tắt.

7. Mức độ nghiêm trọng ra sao?

Tuỳ thuộc từng trường hợp. Nhưng lỗ hổng có thể cho phép kẻ tấn công chiếm hoàn toàn quyền điều khiển máy nạn nhân với khả năng lộn xộn ở mức cao. Hầu hết các cuộc tấn công đến nay đều biến các máy tính trở thành thành viên của mạng botnet, có lẽ để dùng cho các cuộc tấn công khác hoặc để lây lan phần mềm độc hại malware cho thời kỳ sau. Chúng cũng ký gửi một lượng phần mềm quảng cáo adware khổng lồ vào máy nạn nhân. Các phiền phức tiềm ẩn đến sau còn đáng lo hơn mức phá hoại hiện tại. Đó là lý do vì sao các tổ chức bảo mật như Secunia đang hết sức băn khoăn.

8. Khi nào thì có bản vá lỗi chính thức?

Trong cẩm nang tư vấn bảo mật được phát hành ngày hôm qua, Microsoft nói rằng bản vá lỗi mới đang ở giai đoạn hoàn thành cuối cùng. Nó đang được kiểm tra tính tương thích. Công ty dự kiến sẽ phát hành bản vá lỗi này vào ngày 10 tháng 10, với cái tên October's Patch Tuesday.

9. Liệu có quá lâu?

Đến nay tình hình phá hoại của sâu zero-day Windows Metafile chưa đến mức nghiêm trọng. Lỗ hổng bảo mật này mất khá nhiều thời gian. Nếu tình hình quá căng thẳng Microsoft nói rằng họ sẽ hối thúc để có thể phát hành bản vá lỗi sớm hơn.

10. Như thế có phù hợp?

Trong blog của Chris Mosby, người ta nói rằng Web Attacker, chức năng khét tiếng trang bị cho các Trojan đã được cập nhật phần hỗ trợ khai thác lỗ hổng mới này. Đây quả là một tín hiệu không tốt.
Và hình như Microsoft khá chậm chạp thì phải.

11. Phải làm gì trong khi chờ đợi bản vá lỗi?

Đơn giản là bạn hãy tắt tất cả chương trình thực thi JavaScript đi. Microsoft và các chuyên gia nghiên cứu độc lập khuyến cáo các admin (và người dùng có đặc quyền admin) tạm thời ngừng sử dụng thư viện vgx.dll bằng lệnh sau:

regsvr32 -u "%ProgramFiles%\Common Files\Microsoft Shared\VGX\vgx.dll"

Sau khi ngừng sử dụng thanh ghi DLL, hãy khởi động lại máy. Chuyên gia bảo mật Jesper Johansson đã phát hành một số bản hướng dẫn hữu ích, sử dụng Group Policy để triển khai nhanh bản sửa chữa Widnows.

Microsoft nói rằng người dùng Windows Live OneCare hiện ở mức báo động xanh đang được bảo vệ trước tất cả các malware đã biết. Công ty khuyến cáo tất cả người dùng hãy kiểm tra thường xuyên bản cập nhật chương trình bảo vệ máy tính. Các phần mềm antivirus có thành phần chống tràn bộ đệm có thể đối phó được lỗ hổng này.

Nếu thư mục vgx.dll hết sức quan trọng, bạn có thể chỉnh sửa giới hạn quyền truy cập trong Access Control List để DLL nằm trong nhóm “everyone” (có thể xem bởi tất cả mọi người).

Người dùng IE 6 trong Windows XP Service Pack 2 nên tắt các hoạt động nhị phân và script trong khu vực bảo mật Internet and Local Internet. Bạn có thể vào Tools --> Internet Options -- > Security --> (zone) --> Active X controls để vô hiệu hoá cả hai hoạt động đó.

(Một số nhà quan sát nghi ngờ rằng Microsoft hiện đang gặp phải những vấn đề cực kỳ nghiêm trọng. Vì thật hiếm có công ty nào khuyên khách hàng không sử dụng các tính năng sản phẩm của mình, cho dù chỉ là tạm thời).

12. Thư viện vgx.dll có chức năng gì?

Nói một cách cụ thể thư viện này không làm được gì nhiều. Đó là một thư viện liên kết động hỗ trợ VML điều khiển sự thể hiện đồ hoạ vector. VML được đưa ra từ khoảng năm 1998 nhưng nó không được dùng online rộng rãi. Vì nó không phù hợp với hầu hết người dùng nhất là khi trình duyệt IE (tạm thời) không hỗ trợ ngôn ngữ này.

13. Thư viện vgx.dll đã từng trở thành mục tiêu tấn công trước đây?

Đúng vậy. Thực tế đó là một lỗi tràn bộ đệm xử lý ảnh .jpeg trong phiên bản Windows năm 2004, sau chuyển thành lỗi MS04-028.

14, Ai tìm ra lỗ hổng này?

Đầu tiên hãng Sunbelt thông báo khả năng khai thác tự nhiên lỗ hổng bảo mật IE mới của Microsoft vào khoảng trưa hôm thứ hai và post mã nguồn lên danh sách điạ chỉ mail riêng của các chuyên gia bảo mật. Nguồn tin của Alex Eckleberry ở Sunbelt cho hay.

Đó là các chuyên gia bảo mật đầu tiên nghe nói về lỗ hổng. Vài ngày sau Eckleberry phát hiện ra rằng ISS dường như cũng tham gia vào quá trình khai thác lỗ hổng này. Sau đó tổ chức Eckleberry thông báo và làm việc với Microsoft về bản sữa chữa. Tổ chức này cũng cung cấp một bản tham khảo vào hôm thứ ba vừa rồi.

Thứ Bảy, 23/09/2006 08:09
51 👨 113
0 Bình luận
Sắp xếp theo