Trung tâm phản ứng sự cố máy tính của Mỹ (US-CERT) vừa thông báo về 2 lỗi bảo mật trong Windows và trình duyệt Internet Explorer. Microsoft cũng đã công bố bản sửa lỗi cho 2 lỗ hổng này trong bản nâng cấp bảo mật tháng 12.
Microsoft đã công bố bản nâng cấp bảo mật của tháng 12 để khắc phục 2 lỗ hổng bảo mật nghiêm trọng nói trên. Một kẻ xâm nhập trái phép từ xa có thể lợi dụng các lỗi này để chạy chương trình phá hoại trên hệ thống mắc lỗi, gây ra sự cố từ chối dịch vụ.
Khi người dùng IE bấm vào một đường link HTML dẫn tới một trang web được thiết kế tinh vi nhằm khai thác lỗ hổng, kẻ tấn công có thể chạy chương trình phá hoại trên máy nạn nhân với cấp quyền hạn ngang với người đang sử dụng. Kẻ phá hoại cũng có thể khiến trình duyệt IE hoặc chương trình duyệt web bị treo. Sau đây là đặc tả của 2 lỗi nghiêm trọng này:
- Các đối tượng DOM không phù hợp: Nguyên nhân lỗi này là do Internet Explorer không xử lý chính xác các truy vấn (request) tới những đối tượng DOM không phù hợp (mismatched DOM objects), khiến cho hacker có thể chạy chương trình chiếm quyền điều khiển hệ thống.
- Một số đối tượng COM làm lỗi bộ nhớ trong Microsoft Internet Explorer: Trình duyệt Internet Explorer cho phép thực hiện quá trình cài đặt của một số đối tượng COM không được thiết kế để sử dụng trong trình duyệt IE. Lỗi này cho phép kẻ tấn công chạy chương trình phá hoại từ xa hoặc làm lỗi và treo chương trình IE.
Hậu quả nghiêm trọng
Một kẻ xâm nhập trái phép từ xa có thể lợi dụng các lỗ hổng này để chạy chương trình phá hoại bất kỳ và giành quyền sử dụng hệ thống của người dùng hiện thời. Nếu người dùng đăng nhập với quyền quản trị (administrator), kẻ tấn công có thể chiếm toàn quyền kiểm soát hệ thống mắc lỗi, hoặc tạo ra một cuộc tấn công từ chối dịch vụ.
Để khắc phục các lỗi này, Microsoft đã cung cấp các phần mềm vá lỗi trong bản nâng cấp bảo mật tháng 12. Ngoài ra, trước khi sửa được các lỗi trên trong hệ thống, để ngăn chặn bị tấn công bằng các lỗi này, người dùng Windows cần vô hiệu tính năng ActiveX trong trình duyệt. Trong trình duyệt IE, người dùng chọn menu Tool/Internet Options/Security/ Chọn vùng Web content Zone là Internet và bấm Custom Level bên dưới,sau đó vô hiệu (Disable) các tuỳ chọn cho phép chạy và cài đặt Active X control.
Có thể việc vô hiệu Active X control sẽ khiến một số tính năng trên các website không hoạt động được như mong muốn. Tuy nhiên, trong lúc chưa vá được lỗ hổng, thì đây là giải pháp không thừa chút nào.
Dưới đây là một số bảng tổng kết nâng cấp bảo mật của Microsoft trong tháng 12 và trước đó,
* Microsoft Security Bulletin Summary for December 2005
* Microsoft Security Bulletin MS05-054
* Microsoft Security Bulletin MS05-052
* Microsoft Security Bulletin MS05-038
* Microsoft Security Bulletin MS05-037
B.M. (Theo US-CERT)