Microsoft bít các lỗ hổng của IE

14:33 12/04/2006
Bấm ngay
Đăng Ký xem video hay mới nhất

Microsoft bit cac lo hong cua IE

Ngày hôm qua, Microsoft đã phát hành bản vá định kỳ hàng tháng nhằm khắc phục một loạt các lỗi bảo mật nghiêm trọng trong các ứng dụng của hãng này.

Trong số các lỗ hổng bảo mật của các sản phẩm Microsoft được vá lần này gồm 10 lỗ hổng bảo mật của Internet Explorer, hai lỗ hổng nghiêm trọng trong hệ điều hành Windows, một lỗi nghiêm trọng trong Outlook Express và hai lỗi ở mức bình thường trong FrontPage và SharePoint.

“Đây thực sự là một bản vá ‘lớn’ được mong đợi sau rất nhiều sự kiện nổi trội từ khi những lỗ hổng bảo mật kể trên được phát hiện và công bố,” Jonathan Bitle – giám đốc quản lý sản phẩm tại hãng bảo mật Qualys – đánh giá. “Có tới 3 trong 5 miếng vá dành cho IE và Windows được xếp vào mức cực kì nguy hiểm vì tin tặc có thể lợi dụng tấn công người dùng không có kinh nghiệm. Mặc dù chưa có một vụ tấn công nào như thế nhưng đây vẫn là những lỗi rất dễ khai thác và người sử dụng cũng rất dễ bị lừa truy cập vào các trang web nguy hiểm.”

Có tới 8 trong số 10 miếng vá bảo mật dành cho IE là nhằm khắc phục các lỗi bảo mật có thể bị tin tặc lợi dụng chiếm toàn bộ quyền điều khiển hệ thống của người dùng bằng cách tạo ra một trang web có chứa các đoạn mã nguy hiểm và lừa người sử dụng truy cập vào đó.

Microsoft đã xếp những lỗi bảo mật này vào mức độ cực kỳ nguy hiểm. IE phiên bản 5 và 6 hoạt động trên nền các phiên bản hệ điều hành như Windows 2000, Windows XP and Windows Server 2003, thậm trí là cả Windows 98 và Windows Millennium Edition, đều bị ảnh hưởng.

“Một kẻ tấn công ác ý nếu khai thác thành công các lỗi bảo mật này thì đều có thể chiếm toàn bộ quyền điều khiển hệ thống bị lỗi. Do vậy mà chúng tôi khuyến cáo người sử dụng nên cập nhật những bản vá càng sớm càng tốt,” Microsoft khẳng định.

Microsoft thực sự đã phải chịu rất nhiều áp lực phải tung ra các bản vá lỗi dành cho trình duyệt trước ngày Thứ Ba hàng tháng – ngày mà Microsoft thường cho ra mắt các bản vá cập nhật hàng tháng - bởi vì một trong số những lỗ hổng bảo mật đó đã bị khai thác để tấn công người dùng - lỗi “CreatTextRange”.

Phía Microsoft cho biết đã có tổng cộng 3 trong số 10 lỗi bảo mật được công bố rộng rãi cùng với các đoạn mã khai thác và lỗi CreateTextRange là lỗi duy nhất bị khai thác.

Tuy nhiên, hãng bảo mật Symantec lại cho biết có tới 3 lỗi bảo mật đã bị khai thác và sẽ có nhiều các cuộc tấn công hơn sẽ tiếp diễn.

Lỗ hổng trong Windows



Ngoài các lỗi bảo mật trong trình duyệt IE ảnh hưởng đến mọi phiên bản Windows, thì hệ điều hành này còn mắc phải hai lỗi bảo mật nghiêm trọng khác. Đây cũng là những lỗ hổng có thể bị tin tặc lợi dụng chiếm quyền điều khiển các PC mắc lỗi. Trong đó có một lỗi liên quan đến các ActiveX và một lỗi trong Windows Explorer.

Phương pháp để khai thác các lỗi bảo mật này vẫn là phương pháp quen thuộc. Đó là sử dụng một trang web có chứa các đoạn mã độc hại và lừa người sử dụng truy cập vào các trang web đó.

Người sử dụng Outlook Express còn phải đối mặt với một lỗi bảo mật khác liên quan đến việc ứng dụng xử lý Windows Address Book. Nếu người sử dụng mởi một tệp tin WAB có chứa các đoạn mã nguy hiểm đã được nhúng trong đó thì sẽ bị tin tặc chiếm mất quyền điều khiển toàn bộ hệ thống.

Hầu hết các lỗi bảo mật trong Windows và Outlook Express đều đã được thông báo cho Microsoft biết và chưa từng bị lợi dụng trong các vụ tấn công.

Lỗi bảo mật cuối cùng ảnh hưởng đến Windows chỉ là một lỗi bảo mật ở mức độ trung bình. Đây là lỗi bảo mật tấn công liên trang trong FrontPage và SharePoint.

Phải thay đổi vì vi phạm bản quyền

Bên cạnh việc cập nhật khắc phục các bản vá lỗi trong IE, Microsoft còn tiến hành thay đổi phương thức IE xử lý các ActiveX. Đây là những thay đổi cần thiết nhằm tuân thủ những tranh chấp về bản quyền kéo dài giữa Microsoft và Eolas Technologies. Việc thay đổi này sẽ ảnh hưởng đến cách hiển thị một số trang web trong trình duyệt.

Nếu người sử dụng cần có thêm nhiều thời gian hơn để thích hợp với những thay đổi trong ActiveX có thể tải về một bản vá đặc biệt để vô hiệu hoá chúng. Đây là bản vá đặc biệt dành cho các doanh nghiệp có các ứng dụng sử dụng ActiveX.

Hoàng Dũng - (CNet)

Việt Báo
contentlength: 6652
Chia sẻ
Bấm ngay
Đăng Ký xem video hay mới nhất

Video nổi bật

Piaggio giới thiệu “Người vận chuyển” tự lẽo đẽo theo chủ nhân
00:00 / --:--