Microsoft vá 19 lỗ hổng bảo mật

Quản trị mạng - Hôm qua Microsoft đã tung ra 9 bản cập nhật bảo mật vá 19 lỗ hổng trong một số thành phần quan trọng của Windows, và một số ứng dụng như Windows Media Player, Outlook Express, IIS (Internet Information Server), Office cùng với nhiều sản phẩm khác.

Nhiều nhà nghiên cứu bảo mật nhận xét bản cập nhật tháng 8 như một mớ hỗn độn”và như một bữa ăn nhàm chán.

Trong số những bản vá được tung ra ngày hôm qua, có tới 5 bản được sử dụng để vá những lỗ hổng trong một số phần mềm mà Microsoft phát triển do sử dụng thư viện code ATL (Active Template Library) có rất nhiều lỗi (không chỉ Microsoft sử dụng thư viện này mà còn nhiều nhà cung cấp khác sử dụng để xây dựng phần mềm).

Ông Andrew Storms, giám đốc bộ phận bảo mật của nCircle Network Security, nói rằng “Đây chắc chắn là một mớ hỗn độn. Không có mô hình thực sự nào trong tháng này. Tôi coi đó là một ‘bữa ăn nhàm chán’”.

Trong khi đó ông Eric Schultze, trưởng phòng kic thuật của Shavlik Technologies, lại cho rằng “Đó là một bữa ăn với nhiều món hỗn độn, chỉ thiếu “món” Internet Explorer.”

Josh Abraham, nhà nghiên cứu bảo mật của Rapid7, cũng nhất trí cho rằng “Có rất nhiều thứ hỗn độn ở đây.”

Trong số 9 bản cập nhật, có tới 5 bản được đánh giá là rất quan trọng – critical, mức cao nhất trong thang đánh giá 4 bậc của Microsoft, và 4 bản còn lại chỉ xếp sau một bậc (bậc 3) trên thang đánh giá này.

Theo các chuyên gia bảo mật, bản vá được mong đợi nhất là MS09-37. Bản vá này vá 5 lỗ hổng trong một số thành phần của Windows do Microsoft sử dụng thư viện ATL chứa nhiều lỗi gây ra.

Khi đề cập tới bản cập nhật cho ATL, Abraham nhấn mạnh “Bản cập nhật này thật đáng ngạc nhiên.”

Schultze, đã từng coi những bản vá ATL như một điều phiền hà cũng xếp MS09-037 ở vị trí đầu tiên trong danh sách những bản cập nhật được mong đợi. “Có 5 bản vá riêng lẻ cho 5 công cụ kiểm soát được sử dụng trong những phần mềm khác nhau của Microsoft. Thật may là Microsoft đã vá chúng, tuy nhiên người dùng sẽ gặp không ít khó khăn khi chạy những bản vá này.”

Tuy nhiên Storms lại bất ngờ với số lượng bản vá liên quan tới ATL được tung ra khi nói rằng “Chúng ta mong đợi một lô bản vá ATL. Mặc dù chỉ có 5 bản được cho ra nhưng tôi hi vọng rằng chúng ta sẽ còn được thấy rất nhiều lỗi trong thư viện ATL của Microsoft trong hai tháng tới.”

Schultze, cựu nhân viên của Microsoft, nói rằng có nguồn tin trong nội bộ Microsoft cho biết ngoại trừ một cuộc điều tra đang được tiến hành, những bản cập nhật hôm qua đã vá mọi lỗ hổng liên quan tới ATL trong phần mềm của Microsoft. Ông nói “Có thể họ đã vá được chúng”, tuy nhiên Microsoft vẫn chưa tìm những lỗi khác trong ActiveX Control khi nói rằng họ sẽ không tung ra trong bản cập nhật tháng hay trên đĩa CD cài đặt của hệ điều hành này.

Những lỗ hổng xuất hiện trong thư viện ATL là do một nhà lập trình của Microsoft đã nhập thừa một kí tự “&” vào thư viện được sử dụng rộng rãi này.

Hai tuần trước, Microsoft đã phải tung ra hai bản vá khẩn cấp để vá nhiều lỗ hổng trong Internet Explorer và Visula Studio. Những lỗ hổng này cũng liên quan tới ATL.

Một bản cập nhật khác cũng được mong đợi là MS09-043 vá 4 lỗ hổng trong OWC (Office Web Components – Ứng dụng Web của Office), một nhóm ActiveX Control cho phép người dùng đăng tài liệu Word, Excel và PowerPoint trên mạng và sử dụng IE để xem những tài liệu này.

Tháng trước, Microsoft cảnh báo người dùng về hàng loạt các cuộc tấn công có thể nhắm vào ActiveX Control để xem các bảng tính Excel trên IE, tuy nhiên họ lại không thể tung ra bản vá cho lỗ hổng này trong bản cập nhật tháng 7. Lúc đó, nhiều chuyên gia bảo mật đã dự đoán rằng Microsoft sẽ vá lỗ hổng này vào hôm qua.

Abraham khuyên người dùng nên vá lỗ hổng trong OWC ngay lập tức. Khi thảo luận về phương thức xâm nhập mà cả hacker và các nhà nghiên cứu bảo mật thường sử dụng để tăng cường khả năng khai thác, Abraham nói “Bất cứ lỗ hổng tương tự nào (có thể trở thành một module Metasploit và trang bị vũ khí tấn công) cần được vá ngay khi có thể.”

Sheldon Malm, giám đốc chiến lược bảo mật của Rapid7, khuyến cáo người dùng Windows cần để mắt tới hai bản cập nhật đang được chú ý nhất hiện nay là MC09-037 và MS09-043. Ông trích dẫn thông tin từ một bản báo cáo cho biết MS09-039 dùng để vá WINS (Windows Internet Name Service), trong khi đó Schultze cũng cho biết MS09-042 được sử dụng để vá Telnet. Malm, đã đưa ra dự đoán rằng những bản cập nhật này sẽ bị ngiều người dùng bỏ qua (ít nhất trong thời điểm này).

Abraham cũng đề cập đến MS09-044, một bản cập nhật vá 2 lỗ hổng cho Remote Desktop Connection, phần mềm được sử dụng cho cả phiên bản Windows máy trạm và máy chủ, cũng như hệ điều hành Mac để truy cập vào ứng dụng và dữ liệu trên một hệ thống từ xa qua mạng.

Abraham và Malm dự đoán trong vài tháng tới, bản cập nhật đó sẽ nhảy lên vị trí đầu tiên trong danh sách những bản cập nhật quan trọng. Malm nói “tuy nhiên tốc độ của nó bị giới hạn ở một mức độ nào đó vì các phương tiện truyền thông nhắc nhiều tới ATL và OWC.”

Cả 4 chuyên gia bảo mật cũng chú ý tới bản cập nhật MS09-038 (vá 2 lỗ hổng phát sinh khi Windows xử lý định dạng file đa phương tiện .AVI).

Bổ sung ý kiến cho rằng hai lỗ hổng này có thể bị sâu tấn công, Storms cho rằng “Đây là một mẫu cổ điển của lỗi định dạng file đa phương tiện, đó là khi bạn xem một đoạn video độc, bạn sẽ bị kiểm soát. Mọi nguy cơ tiềm tàng đều nằm ở đó.”

Storms cho rằng “Chúng ta sẽ cảm nhận được 19 lỗ hổng trong tháng này bởi vì những hệ thống khác nhau đều cần được vá và nhiều loại phần mềm phải được thử nghiệm, người dùng có thể bị tấn công trong tháng này.”

Malm đồng ý khi nói rằng “Microsoft đang đẩy người dùng vào vòng nguy hiểm.”

Người dùng có thể sử dụng dịch vụ Microsoft Update hoặc Windows Server Update Services để tải bản cập nhật tháng 8 và cài đặt.