Hôm qua Microsoft đã chính thức phát hành 5 bản cập nhật bảo
mật tháng 9 vá 8 lỗ hổng trong hệ điều hành Windows bao gồm một lỗ hổng
trong công cụ JavaScript tích hợp trong mọi phiên bản được hỗ trợ của
hệ điều hành Windows.
Những
lỗ hổng khác được phát hiện trong một số định dạng file của Windows
Media Player, trong giao thức TCP/IP của Windows, ứng dụng Web mặc định
của các giao thức kết nối và trong dịch vụ cấu hình tự động mạng không
dây của hệ điều hành Windows.
Ông Andrew Storms, giám đốc bộ phận bảo mật của công ty nCircle Network Security, nói rằng “Mọi
bí mật trong tuần trước giờ đây đã được hé mở, nhưng trong số những lỗ
hổng mà chúng ta thấy ngày hôm nay có một số liên quan tới Internet
Explorer mà trước đó bị đánh đồng là lỗ hổng của Windows.”
Storms ám chỉ tới thông báo của Microsoft được đưa ra vào hôm thứ 5
tuần trước khi công ty này chỉ nói rằng họ sẽ phát hành một số bản cập
nhật dành cho một số phiên bản của hệ điều hành Windows.
Storms nói thực ra ba trong số 5 bản cập nhật, gồm MS09-045, MS09-046
và MS09-047, tốt hơn nên nói rõ dành cho Internet Explorer bởi vì tin
tặc sẽ sử dụng IE để khai thác bốn lỗ hổng của các bản cập nhật. Storms
tranh luận rằng “Đó
là những vấn đề khá nghiêm trọng trong tháng này bởi vì những lỗ hổng
này có liên quan tới Internet Explorer khi người dùng đang thực hiện
những công việc bình thường trên hệ thống như lướt Web.”
MS09-045
cập nhật công cụ phân tách JavaScript/Jscript của Windows để ngăn chặn
cuộc tấn công chiếm quyền điều khiển mà tin tặc có thể thực hiện bằng
cách đưa mã độc vào một trang Web.
Ông Derek Brown, nhà nghiên cứu bảo mật 3Com’s TippingPoint DVLabs, nói rằng “trong
hầu hết các trường hợp, tin tặc có thể dễ dàng khai thác lỗ hổng này
bằng một phương pháp đơn giản đó là lừa người dùng Windows truy cập vào
một trang web của hắn.” Zero Day Initiative (một trong hai ứng
dụng dò tìm lỗi đang được sử dụng hiện nay) là một ứng dụng của
TippingPoint được Microsoft tin rằng đã phát hiện ra lỗ hổng này.
Brown nói rằng người dùng nên cập nhật để hạn chế khả năng khai thác lỗ hổng trong JavaScript/Jscript. Trong một email ông viết “Do
sự lan tràn của công cụ phân tách và phương pháp khai thác khá đơn
giản, vì vậy tốt nhật người dùng nên sử dụng bản vá ngay lập tức.” Microsoft đánh giá lỗ hổng này ở mức 1 trong chỉ số đánh giá khả năng khai thác, nghĩa là “rất có thể có mã khai thác”.
Microsoft cho biết mọi phiên bản hỗ trợ hiện nay của Windows đều chứa
lỗ hổng này. Ngoại trừ những bản được phân phối chính thức của Windows
7 và Windows Server 2008 R2 là không có lỗ hổng này.
Tuy nhiên Storms lại đưa ra ý kiến cho rằng người dùng phải đặc biệt
quan tâm tới những lỗ hổng liên quan tới IE. Ông lo ngại rằng khuyến
cáo dành sự chú ý cho MS09-048 (cập nhật ngăn xếp TCP/IP của Windows) có thể là sai lầm. Ông nói “Tôi nghĩ nhiều người sẽ quan tâm tới vấn đề của TCP/IP vì đã khá lâu rồi chúng ta mới thấy một lỗ hổng trong ngăn xếp IP.”
Storms cho rằng điều đó thật khờ dại và nói rằng “Khả năng khai thác lỗ hổng đó là rất khó.” Microsoft
đồng ý với ý kiến cho rằng 3 lỗ hổng được vá bởi MS09-048 rất khó có
thể thai thác trong 30 ngày tới vì chúng chỉ được gán chỉ số 2 và 3
trong chỉ số đánh giá khả năng khai thác.
Có khả năng tin tặc sẽ tấn công vào hai lỗ hổng được vá bởi bản cập nhật MS09-047. Cả hai lỗ hổng này đều được Microsoft đánh giá ở mức 1 trong chỉ sổ khả năng khai thác. Trong một bài viết Microsoft cho biết “Một trong hai lỗ hổng có thể cho phép chạy mã từ xa nếu người dùng mở một file media đã bi thay đổi.”
Hai lỗ hổng định dạng file bao gồm file ASF (Advanced Systems Format) và file MP3 (MPEG-1 Audio Layer 3).
Microsoft đã sử dụng bản cập nhật MS09-046
để vá một lỗ hổng duy nhất trong DHTML Editing Component AcitiveX
Control, được IE sử dụng để hỗ trợ cho việc chỉnh sửa nội dung HTML
động, có thể bị một website độc tấn công trong cuộc tấn công chiếm
quyền điều khiển.
Bản cập nhật thứ 5, MS09-049, và một lỗ hổng nguy hiểm trong dịch vụ cấu hình tự động mạng không dây của hệ điều hành Windows.
Storms nhận xét “Những công cụ cấu hình tự động không đáng tin cậy.”
Theo như dự đoán, Microsoft không vá lỗ hổng mới được phát hiện trong
máy chủ Web IIS (Internet Information Services) đang được sử dụng phổ
biến. Tuần trước Storms và một số chuyên gia bảo mật nói rằng với
khoảng thời gian ngắn ngủi còn lại không đủ cho Microsoft tung ra bản
vá IIS trong lần cập nhật này. Tuy nhiên Microsoft đã cam kết vá trong
thời gian sớm nhất.
Ngoài ra còn một lỗ hổng khác hiện chưa được vá là lỗ hổng “Blue Screen of Death” được một tin tặc công bố chiều hôm qua.
Các bản cập nhật tháng 9 có thể được tải và cài đặt trên trang
Microsoft Update hoặc qua dịch vụ Windows Update cũng như dịch vụ
Windows Server Update.
Những
lỗ hổng khác được phát hiện trong một số định dạng file của Windows
Media Player, trong giao thức TCP/IP của Windows, ứng dụng Web mặc định
của các giao thức kết nối và trong dịch vụ cấu hình tự động mạng không
dây của hệ điều hành Windows.