Hôm qua, Microsoft đã phát hành bản vá lỗi cho hai lỗ hổng bảo mật nghiêm trọng (Critical), một trong hệ điều hành Windows và một nằm trong ứng dụng email Outlook.
Cả hai lỗ hổng này đều cho phép kẻ tấn công khai thác, giành toàn quyền kiểm soát những máy tính hoặc máy chủ sơ hở chạy hệ điều hành và ứng dụng của Microsoft. Lỗ hổng Windows nằm trong cách hệ điều hành này xử lý các font Web và đe dọa tất cả các phiên bản gần đây. Một hệ thống yếu đuối sẽ bị hạ gục nhanh chóng, nếu như người dùng mở một email hoặc ghé thăm một website có chứa những mã font độc hiểm.
Còn trong bản tin bảo mật MS06-003, Microsoft cho biết lỗ hổng tìm thấy trong Outlook & Exchange thuộc về cách ứng dụng này giải mã một số tin nhắn email nhất định. Kẻ tấn công có thể chủ ý tạo ra một tin nhắn email "mồi", và các hệ thống sơ hở khi xử lý tin nhắn này bằng Exchange hoặc xem bằng Outlook đều có thể bị "dính chưởng".
Cả hai lỗ hổng này đều được thông báo riêng với Microsoft, chứ không do cộng đồng bảo mật tự khui ra như nhiều lỗ hổng "Critical" mới đây trong Windows. Hiện cũng chưa phát hiện được bất cứ vụ tấn công nào lợi dụng hai lỗ hổng này. Bản vá lỗi đã được kèm theo bên trong bản tin bảo mật, và Microsoft khuyến cáo người dùng nên cài đặt càng sớm càng tốt.
Một Windows mình đầy thương tích
Hôm qua là ngày Microsoft phát hành miếng vá chính thức đầu tiên của năm 2006. Tuy nhiên, ngay từ tuần trước, hãng này đã buộc phải phá vỡ thông lệ "hàng tháng" của mình khi khẩn cấp tung ra miếng vá cho một lỗ hổng cực kỳ nguy hiểm của Windows. Lỗ hổng này liên quan đến cách thức hệ điều hành xử lý các file ảnh WMF và đã bị nhiều hacker khai thác.
Thứ hai vừa qua, người ta lại tiếp tục khui ra được hai lỗ hổng mới nằm trong ứng dụng hình ảnh của Windows. Microsoft đã thừa nhận những trục trặc này, nhưng không quên nói rằng đấy là vấn đề thuộc về "vận hành", chứ không phải lỗ hổng bảo mật.
Lỗ hổng trong Exchange & Outlook ảnh hưởng tất cả các phiên bản hệ điều hành Windows gần đây, ngoại trừ Exchange 2003 cài Service Pack 1 hoặc Service Pack 2. Trong khi chờ đợi cài xong miếng vá, người dùng có thể tạm thời tự vệ bằng cách chặn TNEF.
Bạn có thể download miếng vá tại đây: http://www.microsoft.com/security
Thiên Ý (Theo CNET, AP)