" /> "/> " />
  • Thứ Năm, 05/01/2006 07:24 (GMT+7)

    "Lỗ hổng” WMF của Windows: vá hay không?

    Hôm 1/1/2006, các nhà nghiên cứu bảo mật thuộc trung tâm ISC (Internet Storm Center - ISC) thuộc viện SANS khuyên người dùng hệ điều hành (HĐH) Windows nên cài đặt ngay một "miếng vá" bảo mật không chính thức chứ đừng chờ Microsoft.

    Hai công ty nghiên cứu bảo mật iDefense Inc. và F-Secure Corp. cho biết, hiện có một làn sóng tấn công nhờ khai thác cách mà các phiên bản của HĐH Windows (từ 98 đến XP) xử lí các tập tin ác ý (malicious files) mang định dạng WMF (Windows Metafile). Một trong những vụ tấn công kiểu này đến từ một e-mail mang tiêu đề "happy new year", có đính một file đính kèm ác ý (malicious file attachment) tên "HappyNewYear.jpg" (thực ra là một file WMF bị đổi tên).

    Sau đó, vì nhận ra HappyNewYear.jpg là file WMF, Windows sẽ cố gắng chạy tập tin WMF này (và sẽ thực hiện đoạn mã “nấp” trong file để tải về virus dạng “cổng hậu” Bifrose).

    Theo Microsoft, người dùng chỉ cần nhấn vào một liên kết hoặc mở file đính kèm, vụ tấn công sẽ "mở màn". Tuy nhiên, F-Secure cho biết, chỉ cần xem thư mục chứa file bị nhiễm hoặc sử dụng các công cụ tìm kiếm trên desktop (như Google Desktop) đánh chỉ mục (indexed) vào tập tin bị nhiễm cũng có thể kích hoạt virus.

    Suốt những ngày nghỉ đón năm mới, các nhân viên tại ISC đã làm việc để tạo ra một bản vá lỗi WMF dựa trên miếng vá do Ilfak Guilfanov phát triển. Những chỉ dẫn cho miếng vá này có tại http://www.hexblog.com/2005/12/wmf_vuln.html.

    ISC cho biết, người dùng doanh nghiệp sẽ không cài đặt bản vá lỗi không chính thức này được. Tuy nhiên, nếu không vá lỗi khi biết hệ thống có lỗi cũng không thể không được. Thật khó xử! Một chuyên gia bảo mật cho rằng, dù có thể chấp nhận hay không, người dùng doanh nghiệp nên tin vào "người ngòai" sau khi xác nhận miếng vá này "an tòan và hiệu quả".

    Các máy tính không chạy HĐH Windows thì không bị vấn đề WMF ảnh hưởng. Theo một quan chức của iDefense Inc., những máy tính chạy HĐH Windows mà dùng phần mềm Windows Data Execution Prevention (DEP) ít nhất là không bị các vụ tấn công WMF đe dọa. Tuy nhiên, Microsoft lại nói, phần mềm DEP thì không, nhưng phần cứng DEP có thể giúp tránh được các vụ tấn công WMF.

    IDG News Service, 2/1/2006

    ID: O0601_1