Microsoft sẽ vá lỗi cho IE10 và Windows 8 vào tuần tới

Microsoft vừa công bố sẽ cung cấp 7 bản cập nhật bảo mật vào tuần tới để vá 11 lỗ hổng, bao gồm cả các bản vá lỗi đầu tiên cho Internet Explorer 10 – trình duyệt mới nhất của họ. Giống như những gì đã làm 2 tháng trước, Microsoft cũng sẽ nâng cấp bảo mật cho Windows 8, Windows RT và Windows Server 2012.

"Năm trong bảy bản cập nhật sẽ được đánh dấu "nghiêm trọng", xếp hạng mối đe dọa cao nhất của Microsoft, trong khi các bản còn lại được dán nhãn là "quan trọng", một nhà phát triển của Microsoft đã cho biết trong một công bố.

Andrew Storms, giám đốc điều hành bảo mật tại nCircle Security, đã đặt bản cập nhật cho IE ở vị trí cao nhất trong những việc cần thực hiện. Những chuyên gia khác cũng vậy, bao gồm cả Paul Henry – một nhà nghiên cứu của công ty Lumension có trụ ở tại bang Arizona. Trong một email hôm thứ Năm vừa rồi, Henry đã cho biết các lỗi trong IE9 và IE10 – những phiên bản chịu ảnh hưởng trực tiếp – là về lỗ hổng quản lý bộ nhớ.

Với việc gắn nhãn đặc biệt quan trọng cho bản vá lỗi của IE, rất có khả năng lỗ hổng bảo mật này có thể bị khai thác bởi các hacker nhằm thực hiện các cuộc tấn công qua ổ cứng ngay khi người sử dụng vô tình click vào một đường link độc hại.

Thay đổi không chỉ Internet Explorer

Mặc dù IE9 và trình duyệt mới nhất IE10 hiện mới đang cung cấp kèm theo Windows 8, Windows RT và Windows Server 2012 sẽ được vá lỗi, những phiên bản đang nhận hỗ trợ khác cũng sẽ được cập nhật.

Microsoft đã phát hành thường xuyên những bản cập nhật nhằm tăng cường bảo mật cho sản phẩm của mình, mặc dù nó không dễ dàng để tấn công. Hãng cũng đang xây dựng bản cập nhật cho IE6, IE7 và IE8

"Nói chung là khi lỗ hổng được phát hiện trên nền tảng mới thì Microsoft cũng thẩm định và phát hiện những đoạn mã thiếu sót ở các phiên bản cũ" – Storms nói. "Nhưng có thể họ không thực sự làm việc với những lỗ hổng trên các phiên bản cũ, họ chỉ đang thay đổi những trường hợp mà lỗ hổng bị khai thác trong tương lai".

Đây là lần thứ hai Microsoft thực hiện vá lỗi cho IE. Hồi tháng 11, hãng đã vá 3 lỗ hổng bảo mật nghiêm trọng trên IE9. Storms cho rằng tại thời điểm đó, Microsoft có thể đã tìm ra một hoặc nhiều những lỗ hổng trên IE10, nhưng đã quản lý và sửa chữa nó trước khi tung ra vào ngày 26.

Những cập nhật khác sẽ giải quyết một hoặc nhiều lỗ hổng nghiêm trọng trong Windows, áp dụng cho cả Windows 8 và Windows RT, ít nhất sẽ là bản vá lỗi cho MS Word 2003, 2007, 2010 trên những hệ điều hành phiên bản mới này và một số lỗi quan trọng trong Exchange 2007, 2010.

Sửa lỗi Exchange

"Exchange là một ứng dụng kinh doanh rất quan trọng, và nó không phải là ứng dụng Microsoft muốn ngưng hoạt động, đặc biệt là trong thời điểm cuối năm này" – Storms phát biểu. Nhưng ông chưa sẵn sàng đàm thoại với các doanh nghiệp để thông qua bản cập nhật của Exchange. "Họ cũng có thể sẽ phát hành một số bản vá nhỏ vào tuần tới", Storms nói, đề cập đến thói quen của Microsoft cung cấp những giải pháp an toàn cho đến khi bản vá lỗi được áp dụng. Nếu các doanh nghiệp cài đặt bản cập nhật Exchange và gây thiệt hại hệ thống mail của họ, đặc biệt là thời điểm bận rộn cuối năm này, thì sẽ là một tình thế rất hỗn loạn.

Henry – người thường xuyên trao đổi với Microsoft sau khi họ ban hành thông báo, nói rằng bản vá lỗi Exchange sẽ giải quyết lỗ hổng mới nhất Outside In trong thư viện mã lập trình mà Microsoft đã hợp pháp hóa từ Oracle.

Exchange sử dụng các thư viện để hiển thị các tập tin đính kèm trong một trình duyệt hơn là mở chúng trong một ứng dụng nội bộ được lưu trữ, ví dụ như Microsoft Word. Trong quá khứ, Outside In đã xuất hiện trong các mã cơ sở của Exchange, phân tích những tập tin đính kèm.

Oracle đã vá những lỗi bảo mật nhỏ của Outside In trong một bản cập nhật lớn hồi giữa tháng Mười. "Nếu Microsoft tung ra cả 7 bản cập nhật, công ty này sẽ phát hành được 83 bản vá bảo mật trong năm 2012, giảm 17% so với năm 2011 (100 bản cập nhật)" – Storms nói.

Số lượng các bản vá riêng lẻ chỉ giảm 5%, với 196 bản trog năm 2012 so với 206 bản một năm về trước.

Microsoft sẽ phát hành bản cập nhật lớn (có lẽ là cuối cùng trong năm) này vào ngày 11 tháng 12.

T.V.Q