• Thứ Hai, 07/09/2009 08:44 (GMT+7)

    Microsoft sẽ vá lỗ hổng IIS

    24 giờ sau khi một nhà nghiên cứu bảo mật công bố mã tấn công khai thác lỗi trong phần mềm máy chủ web IIS, Microsoft cho biết họ sẽ khắc phục vấn đề.

    Microsoft cũng đưa ra bản tư vấn bảo mật mô tả vấn đề và những cách giải quyết kỹ thuật chi tiết giúp các nhà quản trị hệ thống thực thi trong khi chờ đợi miếng vá. Patch Tuesday tới đây sẽ được Microsoft tung ra vào ngày 8/9/2009 nhưng không rõ liệu công ty có kịp phát triển, thử nghiệm miếng vá IIS (Internet Information Services) để công bố vào dịp này hay không.

    Mã tấn công được nhà nghiên cứu bảo mật Nikolaos Rangos công bố hôm 31/8/2009, có thể dùng để chạy phần mềm trái phép trên máy chủ. Tấn công diễn ra nhờ khai thác lỗi trong phần mềm FTP (File Transfer Protocol) mà IIS sử dụng, bị đánh giá là nghiêm trọng với những người dùng đang chạy IIS 5. Microsoft cho biết, những người đang chạy IIS 6 cũng bị ảnh hưởng nhưng mức độ nhẹ hơn còn nếu họ đang chạy IIS 7 hoặc chạy IIS 5, IIS 6 mà không bật dịch vụ FTP (hoặc có bật nhưng không trao quyền truy cập ghi cho những người không đáng tin) thì không bị ảnh hưởng.

    Hiện vẫn chưa có vụ tấn công nào khai thác mã của ông Rangos. Secunia đánh giá lỗ hổng có mức “nghiêm trọng vừa phải”.

    Bạch Đình Vinh
    Theo IDG News Service, 2/9/2009

    ID: O0909_1