|
- Trọng tâm của bản cập nhật bảo mật định kỳ tháng 2 được phát hành ngày 11/2 vừa qua là những lỗi bảo mật nguy hiểm trong trình duyệt Internet Explorer và Exchange Server.
Ngoài hai sản phẩm phần mềm nói trên, đợt này Microsoft cũng cho khắc phục lỗi trong bộ ứng dụng Office và SQL Server. Đáng chú ý nhất là lỗi SQL Server – phần mềm cở sở dữ liệu nền tảng của hàng triệu triệu website. Đây là một lỗi cực kỳ nguy hiểm nhưng do khó khai thác nên lỗi này không được đánh giá cao.
Lỗi Exchange nguy hiểm
Được đánh giá nguy hiểm nhất trong số những lỗi được khắc phục đợt này là lỗi Exchange. Tin tặc có thể khai thác lỗi này bằng cách tạo gửi đến máy chủ Exchange một email độc hại được cấy sẵn mã độc.
Microsoft khẳng định không cần người dùng mở email độc hại nói trên mà chỉ cần để cho email độc hại trên được hiển thị trong khung xem trước (preview) là cũng đã tạo đủ điều kiện cho mã khai thác lỗi Exchange được hoạt động.
Hầu hết các chuyên gia bảo mật cũng đều đồng ý với quan điểm của Microsoft. “Đây thực sự là một lỗi hết sức nguy hiểm,” Wolfgang Kandek – Giám đốc công nghệ của Hãng bảo mật Qualys Inc – khẳng định. “Chỉ cần nhận được email độc hại như trên là xem như bạn đã trở thành nạn nhân của tin tặc”.
Andrew Storms – Giám đốc phụ trách bảo mật của nCircle Network Security Inc. – cho biết tin tặc thực sự rất quan tâm tới máy chủ email của doanh nghiệp. “Máy chủ Exchange lưu trữ rất nhiều thông tin bí mật cũng như tài sản trí tuệ của doanh nghiệp. Với lỗi nói trên tin tặc chỉ cần gửi email là đã có thể chiếm được quyền kiểm soát máy chủ Exchange. Hậu quả có thể nói là khôn lường”.
“Không chỉ có thể ăn cắp thông tin mà chiếm được quyền điều khiển máy chủ Exchange tin tặc còn có thể từ đó tổ chức nhiều vụ tấn công nhắm đến các máy chủ khác trong doanh nghiệp,” Rohit Dhamankar – Giám đốc điều hành TippingPoint DVLabs – khẳng định.
Rất may hiện vẫn chưa có mã khai thác lỗi Exchange được phát tán trên mạng. Tuy nhiên đây là một lỗi bảo mật nguy hiểm và có vẻ như khá dễ khai thác nên chắc chắc không sớm thì muộn tin tặc cũng sẽ tìm được biện pháp khai thác. Doanh nghiệp sử dụng Exchange nên nhanh chóng tải về và cài đặt bản cập nhật mã MS09-003.
IE cũng không kém
Bản cập nhật MS09-002 nhắm tới bít hai lỗ hổng nguy hiểm trong phiên bản Internet Explorer 7 – gồm một lỗi trong cách xử lý Cascading Style Sheets (CSS) và một lỗi tràn bộ nhớ đệm.
Ông Kandek khẳng định: “Đây đều là những lỗi cực kỳ nguy hiểm. Người dùng cần nhanh chóng tải về và cài đặt các bản sửa lỗi càng sớm càng tốt. Tôi không thể tưởng tượng nổi hậu quả sẽ như thế nào nếu như IE gặp trục trặc”.
Không những thế lần này các chuyên gia bảo mật cũng đặt ra câu hỏi tại sao những lỗi lần này lại chỉ phát sinh duy nhất trong phiên bản IE7 – phiên bản IE cập nhật và an toàn nhất hiện nay. Ở đây không tính đến IE8 bởi trình duyệt này chưa ra phiên bản chính thức.
“Tại sao lại chỉ có mình IE7 mắc lỗi? Microsoft đã sai sót ở đâu? Nếu cho rằng trình duyệt này đã được thử nghiệm rất cẩn thận thì chúng ta sẽ có câu trả lời. Lỗi phát sinh trong quá trình Microsoft lập trình lại IE,” chuyên gia Storm nhận định.
Lỗi khác
Phải mất tới gần hai tháng Microsoft mới thực hiện được những gì đã hứa khi chính thức lên tiếng xác nhận lỗi bảo mật nguy hiểm trong SQL Server từ hồi tháng 12/2008. Trước đó cũng vì trì trệ không cho sửa lỗi bảo mật này nên chuyên gia bảo mật – người đã phát hiện ra lỗi – đã buộc phải cho công bố rộng rãi thông tin nhằm gây áp lực cho Microsoft.
Bản cập nhật cuối cùng hướng tới phần Visio tích hợp sẵn trong các bộ ứng dụng Microsoft Office. Lỗi này liên quan đến định dạng tệp tin và chỉ được xếp vào mức “quan trọng” (important).
Tuy nhiên dù có thể nào đi chăng nữa các lỗi bảo mật đều rất nguy hiểm đối với người dùng thông thường bởi chúng có thể đặt người dùng vào thế phải đối mặt với các vụ tấn công của tin tặc bất kỳ lúc nào. Chính vì thế người dùng nên tải về và cài đặt mọi bản sửa lỗi.
Tốt nhất người dùng nên bật tính năng Automatic Updates của hệ điều hành để Windows tự tải về và cài đặt các bản sửa lỗi cần thiết.
Hoàng Dũng - (Computerworld/PCworld)
(Theo VnMedia)
|