• Thứ Hai, 12/07/2010 09:48 (GMT+7)

    Microsoft sắp vá lỗ hổng zero-day mới

    Bạch Đình Vinh
    Hôm thứ Năm 8/7/2010, Microsoft cho biết tuần tới sẽ tung ra 4 bản cập nhật bảo mật vá 5 lỗ hổng trong Windows, Office, bao gồm cả lỗi bị một nhà nghiên cứu của Google công khai.

    Trong những lỗ hổng được vá lần này có lỗi bị kỹ sư, nhà nghiên cứu bảo mật Tavis Ormandy (đang làm việc cho Google tại Thụy Sĩ) công bố chi tiết của lỗ hổng zero-day hồi tháng 6/2010, bọn tội phạm đã nhanh chóng đẩy mạnh các cuộc tấn công trực tuyến nhắm vào lỗi này. Microsoft tiết lộ, từ ngày 15/6/2010, họ đã ghi nhận hơn 10.000 vụ tấn công.

    Lỗi nằm trong Help and Support Center của Windows XP (Help and Support Center là thành phần cho phép người dùng truy cập và tải về các file Help của Microsoft từ web), không phân tích đúng trình xử lý (handler) giao thức HCP (Help Centre Protocol), chiều 10/6/2010 Microsoft cho biết. Những kẻ tấn công có thể khai thác lỗ hổng bằng cách lôi kéo người dùng đến thăm những website độc hại hoặc bằng cách thuyết phục họ mở các e-mail dị hình.

    Lỗi ảnh hưởng tới Windows XP, Windows Server 2003. Windows Vista, Windows 7, Windows Server 2008 và Windows Server 2008 R2 không bị thương tổn trước tấn công.

    Microsoft cho biết, ông Ormandy đã thông báo về lỗ hổng cho họ hôm 5/6/2010 nhưng chỉ 4 ngày sau, hôm 9/6/2010, ông Ormandy đã công khai toàn bộ chi tiết, mã chứng minh khái niệm mà “không cho Microsoft thời gian để khắc phục, khiến nhiều khách hàng đứng trước nguy hiểm”.

    Trong 4 miếng vá sắp được tung ra có 3 bản cập nhật “nghiêm trọng”, 1 bản cập nhật “quan trọng”. Cả 2 bản cập nhật Windows đều là “nghiêm trọng” còn 2 bản cập nhật Office thì 1 “nghiêm trọng”, 1 “quan trọng”.

    Đây cũng sẽ là các bản cập nhật bảo mật cuối cùng cho Windows 2000 và Windows XP Service Pack 2 (SP2).

    Microsoft sẽ tung 4 bản cập nhật bảo mật này ra vào khoảng 13h (giờ miền Đông nước Mỹ) ngày 13/7/2010.

    Từ khóa: Google, Microsoft
    Nguồn: Computerworld, 8/7/2010