Các thành phần web của Microsoft Office bị tin tặc tấn công

MicrosoftOffice Web Components targeted by hackers

Mộtngày trước ngày Vá hôm thứ ba (Patch Tuesday), Microsoft hélộ các chi tiết về một lỗi ngày số 0 (zero-day) trongMicrosoft Office mà nó có thể làm cho người sử dụng bịmở để tấn công.

Theday before Patch Tuesday, Microsoft reveals details of a zero-dayflaw in Microsoft Office that could leave users open to attack.

By Asavin Wattanajantra,13 Jul 2009 at 16:39

Theo:http://www.itpro.co.uk/612691/microsoft-office-web-components-targeted-by-hackers

Bài được đưa lênInternet ngày: 13/07/2009

Lờingười dịch: Lỗi quá nhiều, thời gian lại quá ít,Microsoft không thể đưa ra được các bản vá cho hàngloạt các sản phẩm của mình đúng hẹn. Đó là việcđang xảy ra với lỗi ngày số 0 trong nhiều phiên bảnOffice khác nhau của Microsoft hiện nay.

Microsoft đã cảnh báongười sử dụng về một sự có thể bị tổn thươngtrong các phần mềm thành phần web của Office (Office WebComponents) mà chúng có thể cho phép những kẻ tấn côngchạy các mã độc hại trên các máy tính của họ.

Hãng này nói rằngthừa nhận về các cuộc tấn công công cộng với mưutoan khai thác lỗi ngày số 0, hiện diện trong kiểm soátActiveX của bảng tính mà nó được nhúng trong 2 trang web.

Các thành phần webcủa Microsoft Office là một tập hợp các kiểm soát màchúng được sử dụng để xây dựng các công cụ phântích dữ liệu và báo cáo, như các bảng tính và cơ sởdữ liệu, trong các môi trường trình duyệt web và lậptrình khác.

Danhsách lớn các phần mềm bị ảnh hưởng có thể thấytrong sự tư vấn (xem đường link bên dưới), và bao gồmcả Microsoft Office XP, Microsoft Office 2003, Microsoft InternetSecurity và Acceleration Server 2004 và 2006, và Microsoft OfficeSmall Business Accounting 2006.

Thờikỹ tồi tệ cho Microsoft đang tới, khi mà hãng sẽ khôngcó một bản vá nào sẵn sàng cho việc cập nhật củangày thứ ba của các bản vá (xem đường link bên dưới)vào ngày mai. Hãng cũng thất bại vào đúng ngày này vớiviệc Microsoft Office 2010 và các ứng dụng dựa trên webcủa hãng đã được xem trước tại Hội nghị Đối tácToàn cầu của hãng.

Cho tới khi các giảipháp được quan tâm, Microsoft phải đưa ra sự khắc phụcliên quan tới việc thay đổi đăng ký để phòng tránhcho các thànhp phần web của Office khỏi chạy. Cũng có mộtnúm 'Fix it' (Hãy sửa nó) mà nó có thể cũng chạy đượcsự khắc phục này một cách tự động.

Microsofthas warned users about a vulnerability in its Office Web Componentssoftware that could allow attackers to run malicious code on theircomputers.

Thecompany said that it was aware of public attacks attempting toexploit the zero-day flaw, present in the Spreadsheet ActiveX controlthat is embedded into web pages.

MicrosoftOffice Web Components are a set of controls that are used tobuild data analysis and reporting tools, such as spreadsheets anddatabases, in the web browser and other programming environments.

Thebig list of software affected can be found in the advisory,and includes Microsoft Office XP, Microsoft Office 2003, MicrosoftInternet Security and Acceleration Server 2004 and 2006, andMicrosoft Office Small Business Accounting 2006.

Itcomes at a bad time for Microsoft, as it won’t have a patch readyfor its regular PatchTuesday up-date tomorrow. It also falls on the same day thatMicrosoftOffice 2010 and its web-based apps were previewed at itsWorldwide Partner Conference.

Asfar as solutions are concerned, Microsoft has produced a workaroundinvolving changing the registry to prevent Office Web Components f-romrunning. There is also a ‘FixIt’ button that can also run the workaround automatically.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com