• Thứ Năm, 19/03/2009 07:29 (GMT+7)

    Microsoft vá lỗi 7 năm tuổi

    Microsoft mới đưa ra 2 bản vá mới, trong đó 1 bản vá lỗ hổng bảo mật đã có từ năm 2001. Thật kỳ lạ, không ai khai thác lỗ hổng này trong suốt 7 năm qua.

    Các bản vá trước đây đã giảm mức độ nghiêm trọng của vấn đề, vì vậy Microsoft xếp hạng mức độ quan trọng lỗi này thứ 2 từ trên xuống trong thang độ 4 cấp của hãng.

    Lỗi này chủ yếu ảnh hưởng đến Windows XP (hiện có khoảng 700 triệu người dùng) và Windows 2000. Với Windows Vista, nguy cơ chỉ ở mức trung bình, xếp hạng thấp thứ 2 từ dưới lên.

    Ngoài ra, lỗi này ảnh hưởng đến 1 giao thức xác thực quan trọng trong 1 công nghệ mạng gọi là System Message Block (SMB). Việc khai thác lỗi bảo mật này có thể dẫn đến tấn công lấy cắp thông tin của người dùng hay chương trình, cho phép tin tặc kiểm soát hoàn toàn máy tính.

    Tại sao lại mất nhiều thời gian để vá lỗi này?

    Christopher Budd, người quản lý chương trình bảo mật thuộc trung tâm ứng phó bảo mật (Security Response Center) của Microsoft, ghi trên blog (năm 2001): "chúng ta không thể thực hiện các thay đổi để giải quyết vấn đề này mà không gây tác động xấu đến các ứng dụng liên quan đến mạng... Ví dụ, trình client Outlook 2000 sẽ không thể liên lạc đuợc với Exchange 2000 Server". Nếu bạn không thiết lập cài các bản vá tự động, bạn có thể lấy bản vá này và tìm hiểu thêm thông tin tại find.pcworld.com/62083.

    Bản vá thứ 2 che 3 lỗ hổng bảo mật có trong tất cả phiên bản HĐH Windows hiện hành: Vista (bao gồm Service Pack 1), XP SP2 và SP3, và Windows 2000 SP4, cũng như các phiên bản Windows 64-bit.

    Các lỗi trên có liên quan đến Core Services của Windows, các dịch vụ này cho phép các nhà phát triển viết ứng dụng web. Người dùng bình thường có thể không đụng đến các dịch vụ này, nhưng dù gì chúng cũng hiện diện trên máy tính. Một lỗi (Microsoft xếp hạng nghiêm trọng) chỉ ảnh hưởng đến XML Core Services 3.0. Hai lỗi khác (cả 2 đều xếp hạng quan trọng) ảnh hưởng đến các phiên bản mới hơn.

    Hãy cài các bản vá này ngay. Nếu bạn bật tính năng cập nhật tự động, các bản vá này sẽ được cài tự động. Nhưng các bản vá tự cài ngay lập tức, luôn yêu cầu khởi động lại PC. Thay vì chấp nhận sự gián đoạn trong ngày làm việc bận rộn, bạn có thể thiết lập để lấy bản vá khi thuận tiện. Hay nếu vì lý do nào đó không thể tải bản vá tự động, bạn có thể lấy tại find.pcworld.com/62084.

    CÁC MIẾNG VÁ CHO FIREFOX

    Firefox càng phổ biến thì càng có nhiều tin tặc mũ trắng lẫn mũ đen liên tục "chọc ngoáy" nhằm tìm các lỗ hổng bảo mật. Kết quả: Firefox 3 đã đưa ra 2 bản vá khác nhau trong vòng 2 tháng qua. Kế tiếp, phiên bản 3.0.4 bít 4 lỗi mới bị phát hiện mà những nhà phát triển tình nguyện của trình duyệt này xếp hạng là nghiêm trọng.

    Bản cập nhật bít các lỗ hổng trong trình duyệt, trong tính năng khôi phục trang web mở trước đó, và trong 2 chức năng mạng. Tuỳ vào phiên bản Firefox của bạn, hãy tải về phiên bản 3.0.4 (hay 3.0.5, mới được đưa ra) hay 2.0.0.18 để có các bản vá.

    Hiện chưa có cuộc tấn công nào được biết đến, nhưng đừng trì hoãn việc vá lỗi. Từ trong trình duyệt, đi đến mục Help.Check for Updates.

    Nguyễn Lê
    PC World Mỹ 02/2009

    ID: A0902_101