• Thứ Bảy, 06/11/2010 10:22 (GMT+7)

    Microsoft sẽ sửa lỗi nghiêm trọng cho Office 2010 vào tuần sau

    PHT
    Nhưng không có bản vá lỗ hổng IE đang bị khai thác mạnh mẽ.

    Hôm thứ Năm,

    Microsoft cho biết sẽ phát hành 3 bản cập nhật bảo mật vào tuần sau để vá 11 lỗ hổng, bao gồm lỗi nghiêm trọng (critical) lần đầu tiên trong Office 2010.

    Phiên bản Office 2011 dành cho Mac cũng sẽ được vá lần đầu tiên vào thứ Ba tuần tới (là ngày định kỳ hàng tháng Microsoft phát hành bản cập nhật cho các sản phẩm của mình).

    Chỉ một trong 3 bản cập nhật được đánh dấu nghiêm trọng, mức đe dọa cao nhất trong hệ thống đánh giá 4 bậc của Microsoft. Các bản cập nhật còn lại được đánh giá là quan trọng (important), mức đe dọa xếp thứ hai.

    Hai trong bộ ba này sẽ áp dụng cho Office, trong khi bản thứ ba sẽ dành cho Forefront Unified Access 2010 Gateway, nền tảng VPN (mạng riêng ảo) của công ty cho phép người dùng doanh nghiệp kết nối với các ứng dụng doanh nghiệp khi ở ngoài văn phòng.

    Nhưng bản cập nhật Office 2010 đã gây sự chú ý của Andrew Storms, Giám đốc điều hành bảo mật tại nCircle Security. "Tôi sẽ không hề ngạc nhiên khi thấy 10 trong số 11 lỗ hổng trong các bản cập nhật Office", Andrew Storms cho biết.

    Các lỗ hổng nghiêm trọng của Office 2010 làm ông ngạc nhiên. "Đó là mã sản phẩm (SKU) mới nhất, nó có các định dạng tập tin mới nhất và đóng gói mới nhất", Andrew Storms nói, đề cập đến những gì mà Microsoft gọi là "Protected View" trong bộ phần mềm mới.

    Protected View là chức năng mới của bộ ứng dụng văn phòng của Microsoft cho phép cách ly các tập tin Word, Excel và PowerPoint trong một môi trường chỉ đọc để ngăn chặn phần mềm độc hại (điều này đã được giới thiệu trên các tài liệu Office trong nhiều năm) làm tổn hại đến máy tính hoặc tấn công các hệ thống.

    Điểm nổi bật theo Storms là: "Một trong những bản tin đã đánh giá ‘nghiêm trọng’ cho Office 2010, phiên bản mới nhất nhưng chỉ ‘quan trọng’ đối với các phiên bản cũ".

    Điều này khác với thông thường. Các phiên bản cũ hơn của Office – bao gồm Office XP và Office 2003 - thì dễ bị lỗi hơn các phiên bản mới hơn, như là Office 2007 và Office 2010.

    Bản cập nhật vào thứ Ba tuần tới cho Office 2010 sẽ là bản vá quan trọng đầu tiên cho bộ phần mềm này kể từ khi nó ra mắt vào tháng 5/2010, và mới chỉ là lần thứ hai cho gói ứng dụng. Microsoft vá một lỗ hổng quan trọng hồi tháng trước với bản cập nhật MS10-079.

    Bản vá định kỳ tháng 11 gọn hơn nhiều so với tháng 10, khi Microsoft tung ra bản vá kỷ lục sửa 49 lỗi với kỷ lục 16 bản cập nhật. Microsoft đã lập một kế hoạch an ninh chẵn - lẻ, với việc phát hành một số lượng lớn các bản cập nhật vào những tháng chẵn, rồi sau đó là các bản sửa lỗi ít hơn trong mỗi tháng lẻ.

    Một số vấn đề nổi bật mà Microsoft đã thừa nhận trong các khuyến cáo an ninh gần đây sẽ chưa được vá trong tuần tới, theo thông tin chính mà công ty đưa ra hôm thứ Năm trong bản tin báo trước của công ty cho những sửa lỗi vào ngày 9/11 (thứ Ba tuần sau).

    Microsoft đã đưa ra bản tin mới nhất này vào hôm thứ Tư, khi khẳng định rằng tin tặc đang tấn công khai thác một lỗi chưa được vá trong Internet Explorer (IE).

    "Tin tốt là chỉ có ba bản tin bảo mật vào tuần tới", Storms nói. "Tin xấu là vẫn tồn lại lỗi zero-day của IE".

    Các nhà nghiên cứu khác cũng tán đồng khi chỉ ra rằng mặc dù Microsoft đã công bố một cách giải quyết khác cho các lỗ hổng IE nhưng lại không dự kiến sẽ phát hành một bản vá vào lúc nào. “Có thể phải hơn cả tháng trước khi chúng ta thấy nó xuất hiện”, Paul Henry, một nhà phân tích an ninh của công ty bảo mật Lumension thuộc thành phố Scottsdale, Arizona (Mỹ), nói. Có vẻ như Microsoft vẫn không tin rằng đây là mối đe dọa quan trọng.

    Cả Storms và Henry chỉ ra bản cập nhật tuần sau của Microsoft không phải là bản sửa lỗi duy nhất mà người dùng cá nhân và doanh nghiệp phải đối mặt. Cuối ngày thứ Năm, Adobe lên kế hoạch vá một lỗi Flash Player mà công ty đã thừa nhận tuần trước. Cùng ngày, Google cũng phát hành một bản cập nhật cho Chrome, và Mozilla vá Firefox tuần trước.

    Microsoft sẽ phát hành ba bản cập nhật bảo mật vào khoảng 1 giờ chiều thứ Ba ngày 9/11 (giờ Mỹ).

    Nguồn: Computerworld, 4/11/2010