Trang chủĐăng kýĐăng nhập Cộng đồng tin học
Thứ 6, 2024-11-22, 1:26 AM
Khung đăng nhập

http://congdongtinhoc.net
Site menu

Chuyên mục
Phần cứng - Drivers [46]
Điểm Game [37]
Tin tức - Sự kiện [128]
Bảo mật - Security [104]
Mạng Lan, WAN - Internet [44]
Phần mềm tiện ích miễn phí [51]
Điện thoại - Thiết bị số [54]
Máy tính xách tay - Laptop [71]
Tin học văn phòng - MS Office [19]
Đồ họa - thiết kế [27]
Thủ thuật máy tính [116]
Kiến thức cơ bản [48]
Hệ điều hành [51]

Bài viết lưu trữ

Tìm kiếm

Từ khóa tìm kiếm
Email thủ thuật Apple bảo mật Adobe windows 7 tăng tốc tang toc Microsoft windows xp hệ điều hành Laptop acer Lenovo sony compaq netbook miễn phí Wi-Fi download trình duyệt Google Chrome internet Firefox 3.5 Microsoft Office Chrome Internet Explorer 8 safari Công cụ cấu hình dịch vụ google IE virus spyware Bing khám phá firefox 3.6 lỗ hổng zero-day máy tính khắc phục sự cố cập nhật trojan linux ubuntu windows vista Registry Windows tiện ích pc Core i7 bộ xử lý activex control HP nâng cấp thu thuat Mozilla Toshiba Mac dell Việt Nam twitter hotmail intel phần cứng phan cung hacker USB facebook Symantec thiết bị số điện thoại di động Top 10 office card đồ họa Card đồ hoạ IpoD 3G asus mạng xã hội mien phi Blackberry game AMD nVIDIA iphone chỉnh sửa ảnh wan ROUTER hệ thống opera psp Wii hành động Xbox 360 firefox Internet Explorer Android cảm ứng

Bài mới diễn đàn
  • Quạt Hướng Trục
  • vào ucoz.com thiết kế web không hiểu sao...
  • Sothink DHTMLMenu 9.2 Build 90326
  • cho em quảng cáo cái
  • BIDV triển khai gói 10.000 tỷ đồng cho v...
  • Phượng Đã Nở Ngoài Hiên
  • Ngựa Ô Thương Nhớ
  • Những mẩu chuyện vui
  • 1001 cách biến "sim rác" thành...
  • Windows XP Media Center Edition 2008 - S...

    • User tích cực
  • Hung@info
  • thangbom
  • Hung@webmater
  • hebeo
  • giodaingan
  • david15
  • whitecat
  • luutruthongtin
  • systemfan_12
  • sha66b5cates0428

    • Lịch

    Thăm dò ý kiến
    Rate my site
    Results | Polls archive
    Total of answers: 12

    Địa chỉ của bạn
    IP

    Thống kê
    Tổng số trực tuyến: 1
    Khách: 1
    Thành viên: 0
    Trang chủ » 2009 » Tháng 8 » 13 » Microsoft biết lỗ hổng trong Office ActiveX từ 2007
    1:23 PM
    Microsoft biết lỗ hổng trong Office ActiveX từ 2007
    Công ty bảo mật đã thông báo về lỗ hổng trong ActiveX Control cho Microsoft tiết lộ rằng ba lỗ hổng nguy hiểm mà Microsoft vá hôm thứ 3 trong ActiveX Control cho Office lần đầu tiên được thông báo cho công ty này cách đây đã hai năm.

    Cả ba lỗi này đều được phát hiện bởi ZDI (Zero Day Initiative), một chương trình do TippingPoint Technologies (bộ phận nghiên cứu và phát triển bảo mật của 3Com) thực hiện. Ba trong số bốn lỗ hổng được Microsoft vá vào hôm thứ 3 vừa qua là của OWC (Office Web Components), gồm một nhóm ActiveX Control cho phép người dùng đăng tài liệu Word, Excel và PowerPoint lên web, sau đó sử dụng trình duyệt Internet Explorer để xem chúng.

    Một trong số lỗ hổng mà Tipping Point phát hiện nằm trong ActiveX Control mà IE sử dụng để hiển thị bảng tính Excel đã bị tin tặc khai thác từ hơn một tháng trước để thực hiện các cuộc tấn công điều khiển từ những website độc hay những website bị chiếm quyền.

    Trong một số báo cáo của ZDI được đăng lên mạng ngày hôm qua, TippingPoint cho biết họ đã thông báo hai lỗ hổng này cho Microsoft từ tháng 3 năm 2007, và lỗ thứ ba được thông báo vào tháng 12 cũng trong năm đó.

    Hôm nay, Cody Pierce, nhà nghiên cứu bảo mật của TippingPoint, nói rằng “Nói chung, Microsoft là một trong những nhà cung cấp hàng đầu mà chúng tôi cộng tác để vá lỗ hổng trong một giai đoạn nhất định. Tuy nhiên rất khó khẳng định thời hạn có được đảm bảo hay không.”

    Mặc dù Microsoft đã biết hai lỗ hổng này cách đây 29 tháng, và lỗ hổng thứ 3 được 20 tháng, Pierce vẫn ngần ngại khi chỉ trích Microsoft vì đã không vá những lỗ hổng này sớm hơn. Ông nói “Những lỗ hổng giống như những lỗ hổng được phát hiện trong tháng này khá phức tạp, đôi khi nhà phát triển có thể mất nhiều năm để cho ra một bản vá.”

    Pierce cũng xác nhận rằng lỗ hổng đầu tiên trong ba lỗ hổng được TippingPoint phát hiện đã bị tin tặc khai thác từ hơn một tháng trước đó. Lỗ hổng này được TippingPoint thông báo cho Microsoft vào ngày 19/03/2007.

    Vào ngày 13/07 vừa qua, một ngày trước khi bản cập nhật bảo mật tháng được tung ra, Microsoft đã cảnh báo người dùng rằng tin tặc đang sử dụng IE để tấn công họ. Cũng trong ngày hôm đó, công ty bảo mật Sophos có trụ sở tại Anh quốc cho biết họ đã phát hiện ra nhiều website, phần lớn là những website của Trung Quốc, đang khai thác ActiveX.

    Don Retallack, nhà phân tích định hướng của Microsoft, nói rằng “Tôi không chắc chắn về sự chậm trễ này. Đội bảo mật của Microsoft rất chuyên nghiệp và rất thận trọng.” Ông nói rằng Microsoft cần nhiều thời gian để phát triển các bản vá, sau đó phải thử nghiệm trên những sản phẩm mà nó hỗ trợ. Thời gian tung ra bản vá là không quan trọng, mà quan trọng là bản vá đó có phát huy đúng tác dụng của nó hay không.

    Ông nói rằng khả năng của Microsoft không phải là vô tận, vì thế người dùng cũng nên ủng hộ cho quá trình vá của họ. “Với những lỗ hổng được thông báo bí mật, họ cần có nhiều thời gian hơn để cho ra một bản vá do những lỗ hổng này ít được quan tâm hơn những lỗ hổng đã được công bố và đang bị khai thác.”

    Bởi vì cho tới tháng trước tin tặc vẫn chưa khai thác lỗ hổng trong ActiveX Control của OWC nên Retallack vẫn ủng hộ Microsoft. Ông nói “Họ có thể hành động khá nhanh khi lỗ hổng nào đó đang bị khai thác.” Microsoft đều tiến hành vá những lỗ hổng đang bị khai thác trong thời hạn chưa đầy một tháng kể từ khi nó được công bố.

    Gần đây Microsoft có dấu hiệu phản ứng chậm lại với những vấn đề bảo mật. Ví dụ, trong tháng trước, họ lên tiếng xác nhận một lỗ hổng khác trong ActiveX Control đã được thông báo từ đầu năm 2008. Cũng giống như lỗ hổng trong OWC, lỗ hổng đó cũng bị tin tặc khai thác trước khi Microsoft tung ra bản vá.

    Vào lúc đó, John Pescatore, nhà phân tích bảo mật chính của Gartner, đã chỉ trích tiến độ vá của Microsoft. Tháng trước Pescatore nói rằng “Đó là thời hạn không thể chấp nhận được. Với tầm cỡ của Microsoft thì họ không phải cần đến một năm để vá lỗ hổng đó.”

    Ông Christopher Budd, phát ngôn viên của MSRC (Microsoft Security Research Center – Trung tâm nghiên cứu bảo mật của Microsoft) biện bạch rằng “Mọi lỗ hổng đều có những đặc điểm khác nhau do đó việc phát triển bản vá sẽ có những khó khăn nhất định. Việc tung ra một bản cập nhật chất lượng đúng thời hạn tới khách hàng là rất quan trọng với Microsoft. Và công ty chỉ tung ra bản cập nhật sau khi đội ngũ phát triển đã hoàn thành xong quá trình phát triển và kiểm thử chặt chẽ.”
    Chuyên mục: Tin tức - Sự kiện | Lượt xem: 851 | Thêm bởi: Hung@webmater | Tags: bảo mật, activex control, lỗ hổng, owc | Đánh giá: 0.0/0
    Đăng nhập để bình luận.
    [ Đăng ký | Đăng nhập ]
    + Các bài viết khác

      Copyright Cộng đồng tin học © 2024