Microsoft vá 10 lỗ hổng bảo mật

  •  
  • 72

Ngày hôm 09/01, Microsoft đã cho ban hành bản tin bảo mật tháng đầu tiên của năm 2007 với 4 bản nâng cấp bảo mật để vá 10 lỗ hổng trong các ứng dụng.

Trong số 10 lỗ hổng được vá, có tới 7 lỗ hổng được xếp ở mức "nghiêm trọng". Ngoài ra, cũng trong bản tin bảo mật tháng này, Microsoft đã không thể vá một số lỗ hổng trong trình soạn thảo văn bản Word, từng bị tin tặc khai thác cách đây hơn một tháng.

Trên thực tế, số lượng bản tin bảo mật tháng giêng của Microsoft ít hơn một nửa so với con số mà hãng này tuyên bố cách đây ít lâu, và hiện vẫn chưa có lời giải thích nào cho sự cắt giảm này. Trong số này, có 4 bản tin dành cho gói Office, và 4 bản tin dành cho IE.

Theo đánh giá của giới chuyên gia, lỗ hổng nghiêm trọng nhất được vá trong đợt này (bản tin MS07-003) ảnh hưởng tới Outlook. Có ba lỗ hổng được vá trong Office, nhưng chỉ có một lỗ hổng được xếp ở mức nghiêm trọng nhất. Hai trong số ba lỗ hổng trong Outlook có thể cho phép kẻ tấn công chiếm dụng máy tính nạn nhân chạy các phiên bản Outlook 2000, 2002, hoặc 2003. Phiên bản Outlook 2007 được cho là không bị tác động bởi lỗ hổng này.

Trong khi đó, bản tin bảo mật mang số hiệu MS07-004 lại vá một lỗ hổng khác trong VML (Vector Markup Language), một dạng mở rộng của XML dùng để định nghĩa các hình ảnh web thành định dạng đồ hoạ vector. Tháng 9/2006, VML từng đã phát sinh một lỗ hổng khác với lỗ hổng hiện nay. Và cũng giống như lỗ hổng trước đây, lỗ hổng mới có thể khai thác mà không cần sự tương tác của người dùng.

Tuy nhiên, không giống với bản vá lỗi VML năm 2006, bản tin MS07-004 còn bao gồm cả miếng vá dành cho trình duyệt IE7 trên các hệ điều hành Windows 2000 và Windows XP. Hiện Microsoft vẫn chưa khẳng định rằng liệu phiên bản IE7 trên Vista có cần bản vá lỗi này không.

Bản tin tiếp theo là MS07-002 vá 5 lỗ hổng - đều được xếp ở mức nghiêm trọng, ảnh hưởng tới phiên bản Excel 2000 trở lên, trong đó có cả phiên bản Excel trong gói Office 2004 và Office v.X dành cho gói máy Mac. Lỗ hổng trong Excel có thể bị lợi dụng để tạo ra các tệp tin bảng tính giả mạo mà khi mở ra nó sẽ cho phép tin tặc chèn phần mềm độc hại vào PC hoặc máy Mac nạn nhân.

Bản tin cuối cùng là MS07-001, chỉ dùng để vá mỗi lỗ hổng trong Microsoft Word phiên bản tiếng Brazil-Bồ Đào Nha và tiếng Tây Ban Nha.

Theo TechWeb, VnMedia
  • 72