Microsoft vá 15 lỗi, tiếp tục vá chứng thực SSL

Microsoft vá 15 lỗi, tiếp tục vá chứng thực SSLMicrosoft cuối cùng cũng đã đưa ra bản vá cập nhật sau 4 ngày rò rỉ thông tin chi tiết. Hãng này cũng đưa thêm giải pháp đối với vụ hack DigiNotar bằng cách đảo "kill switch" trên chứng thực SSL (secure socket layer) được cung cấp bởi hãng chuyên cung ứng chứng thực bảo mật (CA) DigiNotar. Tuy nhiên, tin tức về 5 bản cập nhật hoặc 15 lỗi mà Microsoft cho ra mắt ngày hôm qua không phải là mới: thứ 6 tuần trước, hãng này đã bị rò...
Nội dung trích xuất từ tài liệu:
Microsoft vá 15 lỗi, tiếp tục vá chứng thực SSL Microsoft vá 15 lỗi, tiếp tục vá chứng thực SSLMicrosoft cuối cùng cũng đã đưa ra bản vá cập nhật sau 4 ngày rò rỉ thông tinchi tiết.Hãng này cũng đưa thêm giải pháp đối với vụ hack DigiNotar bằng cách đảo killswitch trên chứng thực SSL (secure socket layer) được cung cấp bởi hãng chuyêncung ứng chứng thực bảo mật (CA) DigiNotar.Tuy nhiên, tin tức về 5 bản cập nhật hoặc 15 lỗi mà Microsoft cho ra mắt ngàyhôm qua không phải là mới: thứ 6 tuần trước, hãng này đã bị rò rỉ thông tin về cácbulletins bảo mật, thuật ngữ Microsoft sử dụng cho các hướng dẫn đi kèm cùng vớimỗi lần cập nhật.Tất cả các bản cập nhật và lỗ hổng đều được đánh giá là quan trọng, mức cao thứ 2trong hệ thống đánh giá của hãng này.2 trong số những lỗ hổng này là trong Windows; 5 trong Excel – bảng tính có trongứng dụng văn phòng Office; 2 lỗ hổng trong ứng dụng không thuộc Office; và 6 lỗhổng còn lại ảnh hưởng tới SharePoint và phần mềm khác, ví như Groove vàOffice Web Apps.Trong số 15 lỗ hổng, có tới 2 lỗ hổng là DLL load hijacking, một thuật ngữ đượcsử dụng để miêu tả một loại lỗi đã xuất hiện từ tháng 8/2010. Microsoft đã vá phầnmềm của mình để giải quyết vấn đề này.Hiển nhiên là công việc này vẫn chưa được hoàn thành bởi Microsoft vẫn chưađóng kênh tư vấn 2010 nhằm cảnh báo người dùng về lỗ hổng DLL load hijackingtrong các phần mềm của hãng.Theo các chuyên gia bảo mật, bản cập nhật người dùng nên triển khai trước tiên làMS11-072.Đây là bản có chứa các bản vá lỗ hổng cho tất cả các phiên bản của Excel, bao gồmbản Excel 2010 trên Windows và Excel 2011 trên Mac.Khi được hỏi về bản cập nhật nào xứng đáng đứng vị trí hàng đầu trong danh sách,Andrew Storms, Giám đốc điều hành bảo mật tại nCircle Security, đã nói: “Đóchính là bản cập nhật cho Excel bởi đó chính là hướng tấn công thông qua các tậptin đã được thay đổi”.Các chuyên gia khác cũng đồng ý với ý kiến trên.Wolfgang Kandek, Giám đốc công nghệ của hãng bảo mật Qualys, đã nói: “Ưutiên hàng đầu nên đặt vào MS11-072, bản vá giúp giải quyết mã thực thi giả trongfile Excel. Nó ảnh hưởng tới tất cả các phiên bản của Excel, bao gồm cả phiên bảngần đây nhất là Excel 2010. Để khai thác vấn đề này, hacker sẽ tạo file Excel cóchứa mã độc và khi được mở trên các host có lỗ hổng, nó sẽ chiếm được quyềnquản lý hệ thống”.Kurt Baumgartner, chuyên gia an ninh c ủa Kaspersky Lab nói thêm: “Các bảnđính kèm và đường link có liên quan tới Excel thường được sử dụng để tấn côngcác tổ chức và nó xứng đáng để chúng ta đặt quan tâm hàng đầu”.Các bản cập nhật khác giúp vá lỗi trong WINS (Windows Internet Name Service),một thành phần trong Windows Server đã được vá hồi tháng 5 vừa qua; và vá lỗhổng script trong SharePoint Server 2010.Cùng với 5 bản cập nhật, Microsoft cung cấp một bản cập nhật khác nhằm đối phóvới vấn đề trộm cắp hơn 500 chứng thực điện tử từ hãng chuyên cung ứng chứngthực bảo mật (CA) DigiNotar.Theo Pete Voss, chuyên gia thuộc nhóm Trustworthy Computing của Microsoft đãnói: “Chúng tôi cũng cho ra mắt một bản cập nhật khác, thêm 6 chứng thựcDigiNotar gốc dành cho Untrusted Certificate Store (kho chứa chứng thực khôngan toàn).Các chứng thực đã được ký của DigiNotar nhưng sau đó được ký lại bởi một CAkhác (trong trường hợp này là Entrust hoặc GTE) nhằm cho phép chúng có thể sửdụng bởi máy tính Windows hoặc các trình duyệt chưa được trang bị chứng thựcDigiNotar.Theo Storms, các chứng thực được phát hành bởi Entrust hoặc GTE sẽ không ảnhhưởng tới bản cập nhật lần này.Trước đó, Microsoft và các đối thủ khác của mình như Google, Mozilla hay Appleđã “thi nhau” cho cấm hoặc chặn các chứng thực DigiNotar. Bản vá bảo mật tháng9 có thể download và cài đặt qua các dịch vụ Microsoft Update và WindowsUpdate, cũng như thông qua Windows Server Update Services. ...