Microsoft vừa tung ra 11 bản cập nhật bảo mật vào hôm qua (12/2) dùng để vá lổ hổng trong các sản phẩm của họ, bao gồm một lỗi ActiveX gây ảnh hưởng đến người dùng cơ sở dữ liệu Visual FoxPro. Tổng cộng có 17 lỗ hổng phần mềm được chỉnh sửa trong đợt cập nhật này.Microsoft đánh giá 6 miếng cập nhật thuộc cấp độ "critical", nghĩa là chúng nên được cài đặt càng sớm càng tốt, trong khi vẫn giữ 5 miếng cập nhật ở trạng thái "important". Tháng vừa rồi tương đối thảnh thơi với các quản trị viên khi mà Microsoft chỉ đưa ra 2 miếng vá.

Hôm thứ năm tuần trước, một nhà phát triển phần mềm cho biết họ đang sẵn sàng bản vá cho các lỗ hổng về VBScript và JScript phát hiện trong hệ điều hành Windows 2000, XP, và Windows Server 2003. Tuy nhiên nó không có mặt trong bản vá lần này nhưng hôm qua người phát ngôn của Microsoft cũng không khẳng định việc hãng có thật sự bỏ qua bản vá lỗi này hay không khi chỉ tuyên bố "Lỗi này có thể gây nguy hiểm cho người dùng".

Bản vá dành cho IE

Các chuyên gia bảo mật cho rằng bản cập nhật MS08-010 dùng để sửa 4 lỗi xảy ra trong trình duyệt IE nên được xếp loại ưu tiên cài đặt cao nhất trong tuần này. Theo lời ông Don Leatham, giám đốc giải pháp và chiến lược của Lumension Security "Ưu tiên hàng đầu của chúng tôi là MS08-010, tiếp theo đó sẽ đến lượt MS08-007".

MS08-010 vá một ActiveX lỗi gây ảnh hưởng đến người dùng Visual FoxPro đã được phơi bày ra công chúng. Mặc dù các tin tặc đã đăng tải đoạn mã hướng dẫn thực hiện khai thác lỗ hổng này, nhưng do nó không bao gồm trong danh sách quản lý ActiveX mặc định của IE7 nên phạm vi sinh ra nguy cơ không quá lớn.

MS08-007 sẽ sửa một lỗi nguy kịch trong Windows XP và phần mềm WebDAV của Vista. WebDAV là một giao thức chia sẻ tài liệu dựa trên môi trường Web. Lỗi này được đánh giá ở mức độ nghiêm trọng đối với người dùng Windows Server 2003.

Sửa lỗi Microsoft Office

Các sản phẩm thuộc bộ ứng dụng văn phòng Microsoft Office cũng là mục tiêu chính trong đợt cập nhật lần này. Những bản vá hôm thứ ba dành cho Microsoft Word, Office Publisher và chính bộ Office. Bên cạnh đó, phần mềm tự động Object Linking and Embedding của Windows cũng được sửa lỗi.

Những phần cập nhật còn lại được đánh giá là quan trọng dành cho Active Directory, bộ giao thức TCP/IP trong Vista, phần mềm chuyển đổi tập tin Microsoft Works và hai lỗi trong máy chủ Web Internet Information Services (IIS).

Theo lời giám đốc bảo mật của nCircle, ngài Andrew Storms thì những bản vá hôm thứ ba cho thấy những nguy cơ phát sinh bởi lỗi từ phía máy khách tiếp tục cao hơn máy chủ. "Người ta có thể cho rằng các lỗi xảy ra cho IIS và Active Directory là nghiêm trọng hơn bởi vì chúng là trung tâm (ở máy chủ) của hệ thống mạng và cung cấp nhiều dịch vụ trọng yếu. Nhưng các bản vá được đưa ra trong tháng này cho thấy các hacker có thể trục lợi nhiều hơn qua các cuộc tấn công từ phía máy khách."

Theo PCWorld



Bình luận

  • TTCN (0)