Microsoft vá 15 lỗi, tiếp tục vá chứng thực SSL docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (197.25 KB, 5 trang )
Microsoft vá 15 lỗi, tiếp tục vá chứng thực SSL
Microsoft cuối cùng cũng đã đưa ra bản vá cập nhật sau 4 ngày rò rỉ thông tin
chi tiết.
Hãng này cũng đưa thêm giải pháp đối với vụ hack DigiNotar bằng cách đảo "kill
switch" trên chứng thực SSL (secure socket layer) được cung cấp bởi hãng chuyên
cung ứng chứng thực bảo mật (CA) DigiNotar.
Tuy nhiên, tin tức về 5 bản cập nhật hoặc 15 lỗi mà Microsoft cho ra mắt ngày
hôm qua không phải là mới: thứ 6 tuần trước, hãng này đã bị rò rỉ thông tin về các
bulletins bảo mật, thuật ngữ Microsoft sử dụng cho các hướng dẫn đi kèm cùng với
mỗi lần cập nhật.
Tất cả các bản cập nhật và lỗ hổng đều được đánh giá là quan trọng, mức cao thứ 2
trong hệ thống đánh giá của hãng này.
2 trong số những lỗ hổng này là trong Windows; 5 trong Excel – bảng tính có trong
ứng dụng văn phòng Office; 2 lỗ hổng trong ứng dụng không thuộc Office; và 6 lỗ
hổng còn lại ảnh hưởng tới SharePoint và phần mềm khác, ví như Groove và
Office Web Apps.
Trong số 15 lỗ hổng, có tới 2 lỗ hổng là "DLL load hijacking", một thuật ngữ được
sử dụng để miêu tả một loại lỗi đã xuất hiện từ tháng 8/2010. Microsoft đã vá phần
mềm của mình để giải quyết vấn đề này.
Hiển nhiên là công việc này vẫn chưa được hoàn thành bởi Microsoft vẫn chưa
đóng kênh tư vấn 2010 nhằm cảnh báo người dùng về lỗ hổng DLL load hijacking
trong các phần mềm của hãng.
Theo các chuyên gia bảo mật, bản cập nhật người dùng nên triển khai trước tiên là
MS11-072.
Đây là bản có chứa các bản vá lỗ hổng cho tất cả các phiên bản của Excel, bao gồm
bản Excel 2010 trên Windows và Excel 2011 trên Mac.
Khi được hỏi về bản cập nhật nào xứng đáng đứng vị trí hàng đầu trong danh sách,
Andrew Storms, Giám đốc điều hành bảo mật tại nCircle Security, đã nói: “Đó
chính là bản cập nhật cho Excel bởi đó chính là hướng tấn công thông qua các tập
tin đã được thay đổi”.
Các chuyên gia khác cũng đồng ý với ý kiến trên.
Wolfgang Kandek, Giám đốc công nghệ của hãng bảo mật Qualys, đã nói: “Ưu
tiên hàng đầu nên đặt vào MS11-072, bản vá giúp giải quyết mã thực thi giả trong
file Excel. Nó ảnh hưởng tới tất cả các phiên bản của Excel, bao gồm cả phiên bản
gần đây nhất là Excel 2010. Để khai thác vấn đề này, hacker sẽ tạo file Excel có
chứa mã độc và khi được mở trên các host có lỗ hổng, nó sẽ chiếm được quyền
quản lý hệ thống”.
Kurt Baumgartner, chuyên gia an ninh của Kaspersky Lab nói thêm: “Các bản
đính kèm và đường link có liên quan tới Excel thường được sử dụng để tấn công
các tổ chức và nó xứng đáng để chúng ta đặt quan tâm hàng đầu”.
Các bản cập nhật khác giúp vá lỗi trong WINS (Windows Internet Name Service),
một thành phần trong Windows Server đã được vá hồi tháng 5 vừa qua; và vá lỗ
hổng script trong SharePoint Server 2010.
Cùng với 5 bản cập nhật, Microsoft cung cấp một bản cập nhật khác nhằm đối phó
với vấn đề trộm cắp hơn 500 chứng thực điện tử từ hãng chuyên cung ứng chứng
thực bảo mật (CA) DigiNotar.
Theo Pete Voss, chuyên gia thuộc nhóm Trustworthy Computing của Microsoft đã
nói: “Chúng tôi cũng cho ra mắt một bản cập nhật khác, thêm 6 chứng thực
DigiNotar gốc dành cho Untrusted Certificate Store (kho chứa chứng thực không
an toàn)".
Các chứng thực đã được ký của DigiNotar nhưng sau đó được ký lại bởi một CA
khác (trong trường hợp này là Entrust hoặc GTE) nhằm cho phép chúng có thể sử
dụng bởi máy tính Windows hoặc các trình duyệt chưa được trang bị chứng thực
DigiNotar.
Theo Storms, các chứng thực được phát hành bởi Entrust hoặc GTE sẽ không ảnh
hưởng tới bản cập nhật lần này.
Trước đó, Microsoft và các đối thủ khác của mình như Google, Mozilla hay Apple
đã “thi nhau” cho cấm hoặc chặn các chứng thực DigiNotar. Bản vá bảo mật tháng
9 có thể download và cài đặt qua các dịch vụ Microsoft Update và Windows
Update, cũng như thông qua Windows Server Update Services.
