Microsoft đang gấp rút hoàn thiện hai bản vá bảo mật nguy hiểm để tung ra trong bản cập nhật định kỳ vào ngày 11/08 tới.
Hai bản vá được dùng để vá lỗ hổng nguy hiểm cho IE, và Visual Studio,
được Microsoft đánh giá ở mức độ “moderate” - “trung bình”.
Trong một bài viết đăng trên blog hôm thứ 6, Microsoft cho biết “Bản
vá IE sẽ bổ sung nhiều sự thay đổi bảo mật cho IE để bổ sung thêm hàng
rào bảo vệ cho những lỗ hổng được chỉ ra trong bản báo cáo về Visual
Studio.”
Bản cập nhật định kỳ sẽ được tung ra vào luc 10h00 thứ 3 ngày 11/08 theo giờ Mỹ, khoảng 22h00 theo giờ Việt Nam.
Microsoft không cho biết đích xác những lỗ hổng nào sẽ được vá. Đặc
biệt, công ty này cũng sẽ không tung ra bản vá khẩn cấp “ngoài luồng”
này nếu lỗ hổng này không bị tin tặc khai thác. Tuy nhiên Microsoft nói
rằng tin tặc vẫn có thể tấn công trong khi những lỗ hổng này đang được
vá.
Vấn đề này dường như chỉ trì hoãn một thành phần của Windows đang được
sử dụng phổ biến có tên Active Template Library (ATL). Theo nhà nghiên
cứu bảo mật Halvar Flake, lỗ hổng này là do lỗ hổng trong ActiveX mà
Microsoft chỉ ra hồi đầu tháng này gây ra. Microsoft đã phát hành bản
vá kill-bit vào ngày 14/07, tuy nhiên sau khi kiểm tra lỗ hổng, Flake
khẳng định rằng bản vá đó đã không vá được lỗ hổng cơ bản nên rất có
thể người dùng sẽ phải hứng chịu những đợt tấn công mới.
Tuy nhiên, bản vá mới sẽ là ưu tiên hàng đầu đối với cư dân mạng trong
tuần tới. Roger Thompson, trưởng phòng nghiên cứu công nghệ của AVG,
nói “Khi Microsoft tung ra bản vá “ngoài luồng”, tôi nghĩ tốt nhất người dùng nên sử dụng nó.”
Microsoft đã không đưa ra bất kì lí do nào cho bản cập nhật đã được
tung ra nhưng có thể họ đang cố gắng làm giảm đi những lời phát biểu
bất lợi trong cuộc hội thảo bảo mật Black Hat được tổ chức vào tuần tới
ở Las Vegas. Bản cập nhật khẩn cấp được dự định tung ra vào ngày trước
ngày khai mạc Black Hat, bàn thảo luận các vấn đề liên quan tới bảo mật
trình duyệt của ba nhà nghiên cứu Mark Dowd, Ryan Smith và David Dewey.
Theo các chuyên gia bảo mật, hàng ngàn website đã được sử dụng làm
“phương tiện” phát động các cuộc tấn công trực tuyến nhằm khai thác lỗ
hổng bảo mật trong ActiveX, sau đó đã được vá vào tháng này - hơn một
năm kể từ khi Microsoft được thông báo về nó.
Trong một bài viết đăng trên blog hôm thứ 6, Microsoft cho biết “Bản
vá IE sẽ bổ sung nhiều sự thay đổi bảo mật cho IE để bổ sung thêm hàng
rào bảo vệ cho những lỗ hổng được chỉ ra trong bản báo cáo về Visual
Studio.”