Trong chu kỳ cập nhật các bản vá lỗi phần mềm tháng này, Microsoft đã phát hành 59 bản sửa lỗi cho trình duyệt Internet Explorer (IE) của mình, trong đó có một lỗ hổng nghiêm trọng đã vẫn chưa được vá kể từ khi nó được công bố ngày 22 tháng 5.
Nói chung, Microsoft đã phát hành 7 bản tin bảo mật, hai trong số đó là cho IE và Lync, được đánh giá nghiêm trọng so với các lỗ hổng mức độ nghiêm trọng còn lại được đánh giá là quan trọng. Tổng hợp lại, họ thống kê 66 lỗ hổng bảo mật khác nhau đã được tìm thấy trong Microsoft Windows, Office và Live Meeting, ngoài IE và Lync.
Các người quản trị và nhà quản lý bảo mật trước tiên nên xem bản tin bảo mật IE ms14-035, Wolfgang Kandek, giám đốc công nghệ của hãng bảo mật Qualys cho biết.
Một trong những lỗ hổng bảo mật là một lỗ hổng zero-day đã được phát hiện bởi chương trình Zero Day Initiative (ZDI) của Hewlett-Packard và thông báo cho Microsoft trong tháng 10. Phát hiện của ZDI sẽ chờ đợi 180 ngày trước kghi công khai tiết lộ lỗ hổng, cho chủ sở hữu phần mềm có thời gian để sửa chữa lỗ hổng.
Microsoft thất bại trong việc ban hành bản vá trong thời gian cho phép, vì vậy ZDI đăng thông báo về lỗ hổng trong tháng trước, cảnh báo những kẻ tấn công độc hại về một lỗ hổng xâm nhập tiềm năng vào hệ thống Windows thông qua trình duyệt IE 8.
"Cho đến nay như chúng ta biết, không ai có lạm dụng nó, nhưng nó đã được loại ra khỏi danh sách khoảng hai tuần," Kandek nói.
Trong khi tổng số 59 lỗ hổng cho một phần nhỏ của phần mềm đang mở, số lượng lớn có thể tăng lên khi sử dụng các công cụ quét tinh vi, chứ không phải là điểm yếu bất thường nào trong mã nguồn của IE, Kandek nói.
ZDI phát hiện 22 lỗi trong số các bản vá lỗi, trong đó có 5 lỗi đã được tìm thấy thông qua cuộc thi Pwn2Own của HP vào tháng 3. 23 lỗ hổng khác đã được tìm thấy bởi bốn nhà nghiên cứu tại Qihoo, một công ty an ninh Bắc Kinh.
Một khi một nhà nghiên cứu có thể xác định một mô hình lỗ hổng trong mã nguồn, mô hình đó có thể được tìm kiếm bất kỳ chỗ nào trong cơ sở dữ liệumã nguồn.
"Các nhà nghiên cứu có thể nhận ra khi họ phát hiện ra một cái gì đó, họ có thể viết một công cụ tùy chỉnh để tìm kiếm các khả năng khác của loại lỗi đó," Kandek nói.
Bản tin thứ hai hầu hết các người quản trị nên xem xét, ms14-034, xử lý một lỗ hổng được tìm thấy trong Microsoft Word 2007, Kandek nói.
Mặc dù Microsoft chỉ đánh dấu lỗ hổng này là quan trọng, công ty có thể đã đánh giá thấp mức độ nghiêm trọng của lỗi này vì dễ bị tổn thương, để lỗi được khai thác, sẽ yêu cầu người dùng mở một tập tin bằng cách sử dụng phần mềm xử lý văn bản.
Tuy nhiên, Kandek nói rằng "Tôi không nghĩ rằng đó là một rào cản cho những kẻ tấn công để có được một người sử dụng để mở một tập tin."
Kandek cũng khuyên các người quản trị, khi họ vá hệ thống, hãy cài các bản vá lỗi quan trọng Adobe hôm thứ 3 cho chương trình Flash của nó.
Các phiên bản mới hơn của một số trình duyệt, đặc biệt là trình duyệt IE và Google Chrome, đã nhúng Flash, vì vậy các bản cập nhật cho chúng sẽ tự động cài đặt. Tuy nhiên, phiên bản cũ của những trình duyệt này vẫn phải được cập nhật một cách riêng biệt.
Theo CSOOnline
Thêm bình luận