 |
Người dùng nên cập nhật các miếng vá để đề phòng các cuộc tấn công |
- Microsoft đã chính thức phát hành bản nâng cấp tháng 6 với 10 bản cập nhật an ninh vá 31 lỗi trên Windows, IE, Excel, Word, Windows Search và một số chương trình khác, trong đó có 18 lỗi được gán nhãn cực kì nghiêm trọng.
Trong số 10 bản cập nhật an ninh, có 6 dành cho Windows, 3 dành cho ứng dụng Office, 1 vá lỗi trên IE. Ngoài 18 lỗi được đánh giá là cực kì nghiêm trọng, bộ phận an ninh của Microsoft xem 11 lỗi ở mức quan trọng (important), 2 lỗi còn lại ở mức trung bình.
Kể từ khi bắt đầu kế hoạch cập nhật hàng tháng từ 2003 đến nay, đây là lần nâng cấp có số lỗi nhiều nhất. Tháng 8 năm 2006 và 2008, Microsoft cũng chỉ mới vá số lỗi cao nhất là 26 .
Ở lần cập nhật này, trình duyệt Internet Explorer được xem là tâm điểm. Bản nâng cấp với mã số MS09-019 đã vá 8 lỗi khác nhau trên IE. Một trong số các bản vá đã bịt lỗ hổng mà một nhà nghiên cứu an ninh từng khai thác và hack thành công IE, giành giải thưởng 5000 USD trong cuộc thi Pwn2Own tháng 03 vừa qua.
Nếu đang chạy IE8 trên Windows XP, hoặc quan tâm tới các cuộc tấn công dựa vào hệ thống intranet, Terri Forslof, người phụ trách quản lý trung tâm phản hồi an ninh TippingPoint thuộc 3Com, bạn hãy sớm cập nhật bản vá lần này.
Mặc dù IE8 trên Vista và Windows 7 được hệ điều hành bảo vệ khỏi lỗi đã từng được khai thác ở cuộc thi Pwn2Own, nhưng mấy tháng nay, người dùng Windows XP đã bị đặt vào tình trạng báo động đỏ vì lỗi liên quan tới trình duyệt con cưng của Microsoft. Tuy nhiên, IE8 chỉ có một lỗi duy nhất còn IE7 có tới 7. Đó là lí do vì sao các chuyên gia khuyến cáo người dùng nên nâng cấp lên phiên bản IE mới nhất.
Ngoài ra, đáng mừng là lỗi trên phần mềm máy chủ Internet Information Services (IIS) của hãng cũng đã được vá. IIS sẽ dính lỗi một khi kích hoạt WebDAV, một dạng mở rộng của giao thức HTTP hỗ trợ chia sẻ tài liệu qua web. Bản nâng cấp mang mã số MS09-020 sẽ khắc phục lỗi này, vốn Microsoft từng thừa nhận từ tháng trước.
Bản nâng cấp MS09-018 cũng rất đáng quan tâm khi Microsoft khắc phục lỗ hổng trên Active Directory. Đây là lỗi được xếp vào loại nguy hiểm và có thể dẫn đến các cuộc tấn công từ xa chỉ với thao tác gửi tới máy chủ một gói dữ liệu chứa mã độc. Theo các nhà phân tích, một khi kiểm soát được Active Directory, tin tặc sẽ có thể lấy được mật khẩu của bạn.
Các nhà phân tích dành sự quan tâm khá đặc biệt cho bản nâng cấp MS09-022 cập nhật spooler của máy in trên Windows. Wolfgang Kandek cho biết: “Lỗi này ảnh hưởng tới tất cả các hệ điều hành Windows. Bất cứ ai cũng có thể kích hoạt nó. Ngoài ra, hầu hết người dùng đếu kích hoạt máy in từ xa trên PC của họ”
Trong lần nâng cấp này, Microsoft đã lỗi hẹn với bản vá dành cho DirectX, vốn được phát hiện gần đây.
Lần phát hành này còn có các bản nâng cấp MS09-023 dành cho Windows Search, MS09-025 dành cho nhân hệ thống và MS09-026 chữa lỗi chức năng RPC trên Windows.
Hàng loạt bản vá lỗi dành cho PowerPoint, Office
Đáng chú ý là ba bản nâng cấp an ninh với các mã số MS09-021, MS09-024 và MS09-027 dành để vá các lỗi trên ứng dụng Office của Microsoft. 6 phiên bản Office trên Windows đã được vá gồm Office 2000, Office XP, Office 2003 và Office 2007. Tuy nhiên, 3 lỗi trên Office 2004 và Office 2008 dành cho máy Mac vẫn chưa được khắc phục. Đây là lần đầu tiên Microsoft phải “bó tay” khi bản nâng cấp không vá được các lỗi trên tất cả các phiên bản phần mềm của hãng.
Trong số các bản nâng cấp dành cho trình Office, ứng dụng PowerPoint đã được Microsoft vá các lỗi được xếp vào loại cực kì nguy hiểm từng được công bố cách đây 6 tuần. Bản nâng cấp dành cho PowerPoint vá 14 lỗi khác nhau, trong đó 11 lỗi ở mức cực kì nghiêm trọng (critical). Các phiên bản đời cũ mắc lỗi nhiều hơn. PowerPoint 2000 dính 11 trong số 14 lỗi, tất cả đều xếp ở mức nghiêm trọng. Trong khi đó, cũng có 11 lỗi nhưng PowerPoint 2002 và PowerPoint 2003 đều chỉ ở mức quan trọng hoặc có tính nguy hại trung bình.
Bản nâng cấp MS09-024 vá lỗi trên Word, có thể cho phép thực thi mã tấn công và trên Word 2000 ở mức nghiêm trọng, Word 2003, Word 2007, Works 8.5 và Works 9.0 ở mức quan trọng. Khi nhập tập tin .wps sẽ sẫn đến lỗi tràn bộ đếm. Riêng Word 2007 SP2 không bị ảnh hưởng.
Cuối cùng, bản nâng cấp mang số hiệu MS09-021 dành cho các lỗi trên Microsoft Office Excel giúp tin tặc thực thi mã độc từ xa. Trên Excel 2000 được xem là lỗi cực kì nghiêm trọng và ở mức quan trọng trên hàng loạt phiên bản khác, trong đó có phiên bản trên Mac.
NHẬT VƯƠNG (Theo Computerworld/Pcmag)
(Theo TTO)