Microsoft vá 15 lỗi, tiếp tục vá chứng thực SSL

Quản Trị Mạng - Microsoft cuối cùng cũng đã đưa ra bản vá cập nhật sau 4 ngày rò rỉ thông tin chi tiết.

Hãng này cũng đưa thêm giải pháp đối với vụ hack DigiNotar bằng cách đảo "kill switch" trên chứng thực SSL (secure socket layer) được cung cấp bởi hãng chuyên cung ứng chứng thực bảo mật (CA) DigiNotar.

Tuy nhiên, tin tức về 5 bản cập nhật hoặc 15 lỗi mà Microsoft cho ra mắt ngày hôm qua không phải là mới: thứ 6 tuần trước, hãng này đã bị rò rỉ thông tin về các bulletins bảo mật, thuật ngữ Microsoft sử dụng cho các hướng dẫn đi kèm cùng với mỗi lần cập nhật.

Tất cả các bản cập nhật và lỗ hổng đều được đánh giá là quan trọng, mức cao thứ 2 trong hệ thống đánh giá của hãng này.

2 trong số những lỗ hổng này là trong Windows; 5 trong Excel – bảng tính có trong ứng dụng văn phòng Office; 2 lỗ hổng trong ứng dụng không thuộc Office; và 6 lỗ hổng còn lại ảnh hưởng tới SharePoint và phần mềm khác, ví như Groove và Office Web Apps.

Trong số 15 lỗ hổng, có tới 2 lỗ hổng là "DLL load hijacking", một thuật ngữ được sử dụng để miêu tả một loại lỗi đã xuất hiện từ tháng 8/2010. Microsoft đã vá phần mềm của mình để giải quyết vấn đề này.

Hiển nhiên là công việc này vẫn chưa được hoàn thành bởi Microsoft vẫn chưa đóng kênh tư vấn 2010 nhằm cảnh báo người dùng về lỗ hổng DLL load hijacking trong các phần mềm của hãng.

Theo các chuyên gia bảo mật, bản cập nhật người dùng nên triển khai trước tiên là MS11-072.

Đây là bản có chứa các bản vá lỗ hổng cho tất cả các phiên bản của Excel, bao gồm bản Excel 2010 trên Windows và Excel 2011 trên Mac.

Khi được hỏi về bản cập nhật nào xứng đáng đứng vị trí hàng đầu trong danh sách, Andrew Storms, Giám đốc điều hành bảo mật tại nCircle Security, đã nói: “Đó chính là bản cập nhật cho Excel bởi đó chính là hướng tấn công thông qua các tập tin đã được thay đổi”.

Các chuyên gia khác cũng đồng ý với ý kiến trên.

Wolfgang Kandek, Giám đốc công nghệ của hãng bảo mật Qualys, đã nói: “Ưu tiên hàng đầu nên đặt vào MS11-072, bản vá giúp giải quyết mã thực thi giả trong file Excel. Nó ảnh hưởng tới tất cả các phiên bản của Excel, bao gồm cả phiên bản gần đây nhất là Excel 2010. Để khai thác vấn đề này, hacker sẽ tạo file Excel có chứa mã độc và khi được mở trên các host có lỗ hổng, nó sẽ chiếm được quyền quản lý hệ thống”.

Kurt Baumgartner, chuyên gia an ninh của Kaspersky Lab nói thêm: “Các bản đính kèm và đường link có liên quan tới Excel thường được sử dụng để tấn công các tổ chức và nó xứng đáng để chúng ta đặt quan tâm hàng đầu”.

Các bản cập nhật khác giúp vá lỗi trong WINS (Windows Internet Name Service), một thành phần trong Windows Server đã được vá hồi tháng 5 vừa qua; và vá lỗ hổng script trong SharePoint Server 2010.

Cùng với 5 bản cập nhật, Microsoft cung cấp một bản cập nhật khác nhằm đối phó với vấn đề trộm cắp hơn 500 chứng thực điện tử từ hãng chuyên cung ứng chứng thực bảo mật (CA) DigiNotar.

Theo Pete Voss, chuyên gia thuộc nhóm Trustworthy Computing của Microsoft đã nói: “Chúng tôi cũng cho ra mắt một bản cập nhật khác, thêm 6 chứng thực DigiNotar gốc dành cho Untrusted Certificate Store (kho chứa chứng thực không an toàn)".

Các chứng thực đã được ký của DigiNotar nhưng sau đó được ký lại bởi một CA khác (trong trường hợp này là Entrust hoặc GTE) nhằm cho phép chúng có thể sử dụng bởi máy tính Windows hoặc các trình duyệt chưa được trang bị chứng thực DigiNotar.

Theo Storms, các chứng thực được phát hành bởi Entrust hoặc GTE sẽ không ảnh hưởng tới bản cập nhật lần này.

Trước đó, Microsoft và các đối thủ khác của mình như Google, Mozilla hay Apple đã “thi nhau” cho cấm hoặc chặn các chứng thực DigiNotar. Bản vá bảo mật tháng 9 có thể download và cài đặt qua các dịch vụ Microsoft Up-date và Windows Up-date, cũng như thông qua Windows Server Up-date Services.