Microsoft vá 2 lỗi Windows trong đợt nâng cấp tháng 6

Cặp phần mềm khắc phục khiếm khuyết này được phát hành hôm qua nhằm bịt những lỗ thủng trong một tính năng trò chơi trực tuyến và một ứng dụng bên thứ 3 mà Microsoft dùng trong một số ứng dụng của họ.

Bản nâng cấp thứ nhất khắc phục một nhược điểm trong tính năng game nối mạng DirectPlay - có vai trò cho phép những trò chơi hỗ trợ ở DirectX cung cấp môi trường liên kết trực tiếp khi chơi trên Internet. Khai thác lỗi an ninh ở đây, hacker có thể gây gián đoạn đường kết nối và phá hỏng trò chơi. Lỗi trong tính năng game trực tuyến chỉ ảnh hưởng tới những trò dùng hệ thống gaming tự do trên mạng ngang hàng của Microsoft thay vì kiến trúc chủ/khách mà nhiều game đa đối thủ sử dụng, chẳng hạn như Quake và Unreal Tournament. Lỗi này xuất hiện trong tất cả hệ điều hành desktop của Microsoft như Windows 98, 98SE, ME, 2000, XP, XP 64-bit và tác động cả Windows Server 2003. “Trò chơi có thể bị hỏng hoặc giao diện người sử dụng có thể bị treo, không còn bất cứ phản hồi nào”, Stephen Toulouse, Giám đốc chương trình an ninh của hãng phần mềm, cho biết.

Bản nâng cấp thứ hai giải quyết một vấn đề bảo mật liên quan đến ứng dụng Crystal Reports Web Viewer, một phần mềm của hãng thứ 3 được Microsoft sử dụng trong Visual Studio .Net 2003, Outlook 2003 (kèm Business Contact Manager) và Microsoft Business Solutions CRM 1.2. Lỗi này có thể cho phép hacker tấn công từ chối dịch vụ hoặc truy nhập vào thông tin trong máy tính. Chương trình Crystal Reports Web Viewer là một ứng dụng cho phép người sử dụng xem và biên tập những văn bản được tạo ra bằng ứng dụng Crystal Reports trong công cụ Business Objects. Khiếm khuyết ở bộ phận xem văn bản này có thể để hacker xóa và chỉnh sửa file trên hệ thống của nạn nhân. (Tham khảo và tải bản sửa lỗi này cho Windows 2000, Windows XP 32-bit, XP 64-bit và Windows Server 2003 tại bản tin an ninh MS04-017)

Cả 2 khiếm khuyết nói trên đều được xếp vào mức nguy cơ trung bình, tức là mức thấp gần cuối cùng trong thang đánh giá lỗi an ninh của Microsoft. “Dù là phần mềm do chúng tôi viết hay của hãng khác nhưng được chúng tôi cung cấp thì Microsoft cũng đều có bản vá lỗi”, Toulouse tuyên bố.

Với sự xuất hiện của hai bản nâng cấp mới, tổng số bản tin an ninh mà Microsoft công bố tính đến thời điểm này trong năm nay đã lên đến 17, mặc dù số khiếm khuyết thực tế được khắc phục thì còn lớn hơn nhiều. Ví dụ như giữa tháng 4 vừa qua, họ đã phát hành một gói phần mềm rất lớn trong một đợt “đại nâng cấp” để khắc phục 20 khiếm khuyết. Thế nhưng vá thì vá, 17 ngày sau đó sâu Sasser vẫn xuất hiện bằng cách khai thác một trong những lỗ hổng này và làm cộng đồng Internet chao đảo suốt gần 1 tháng.

Ở hai khiếm khuyết mới, những kẻ tấn công sẽ không thể khai thác để giành quyền kiểm soát máy tính và vì thế chúng cũng không thể bị những kẻ thiết kế virus khai thác để viết ra các loại sâu như Sasser.

Trong đợt nâng cấp định kỳ tháng này, hãng phần mềm số 1 thế giới còn tăng cường trang web an ninh của họ bằng việc tập hợp toàn bộ các bản update theo tháng đã phát hành vào cùng một chỗ và bổ sung một kênh phát hành bản tin (RSS) cho website.

Phan Khương (theo CNet)