Theo các nhà nghiên cứu bảo mật, Microsoft sẽ phải phát hành một bản vá khẩn cấp để bịt một lỗ hổng zero-day của trình duyệt IE. Đây là lỗ hổng đã được phát hiện và cảnh báo từ tháng trước và đã được Microsoft xác nhận vào cuối tháng 12.2012.
Tuy nhiên, thay vì đưa ra một miếng vá hoàn chỉnh, Microsoft đã cho phát hành một giải pháp ngăn chặn tạm thời thông qua công cụ trực tuyến FixIt. Song song đó, hãng này khuyến cáo người dùng nên cài đặt một tiện ích chống khai thác độc lập Enhanced Mitigation Experience Toolkit (EMET). Đáng chú ý là trong gói cập nhật các bản vá lỗi theo lịch trình vừa được Microsoft phát hành hôm thứ Ba (8.1) không hề có bản vá nào để bịt lỗ hổng này.
Theo các nhà nghiên cứu, hiện tại các cuộc tấn công thông qua lỗ hổng này của IE ngày càng gia tăng một cách đáng quan ngại. Chính vì vậy, việc phải chờ thêm 5 tuần nữa mới đến thời điểm Microsoft phát hành bản vá lỗi theo định kỳ là khoảng thời gian quá dài bởi cả 2 giải pháp tạm thời nói trên của Microsoft đều có thể bị "qua mặt", không bền vững.
Lỗi zero-day nói trên được phát hiện tồn tại trong các trình duyệt web từ IE 6, 7, 8. Do vậy, Microsoft cố gắng thúc giục khách hàng nâng cấp trình duyệt của mình lên IE9 hoặc IE10 nếu có thể. Tuy nhiên, vấn đề là với những người dùng Windows XP thì IE 8 là phiên bản cao nhất mà họ có thể cài đặt cho HĐH đã 11 tuổi của mình. Chính vì thế, các nhà nghiên cứu bảo mật cho rằng Microsoft buộc phải tung ra bản vá khẩn cấp để bịt lỗ hổng này trong vòng 1 – 2 tuần nữa.
Nếu đúng như vậy thì đây là lần thứ 2 kể từ tháng 9.2010, Microsoft đã phải tung ra bản vá khẩn cấp cho sản các sản phẩm của mình.
Post a Comment