Microsoft fixes '19-year-old' bug with emergency patch
By Dave Lee Technology reporter, BBC News, 12 November 2014 Last updated at 12:44
Theo: http://www.bbc.com/news/technology-30019976
Bài được đưa lên Internet ngày: 12/11/2014
Lời người dịch: Trong Bản vá ngày thứ Ba tháng 11/2014, có một lỗi sống còn, MS14-064, là lỗi mà các nhà nghiên cứu của IBM đã phát hiện ra từ tháng 5/2014, là lỗi đã tồn tại trong các phần mềm của Microsoft 19 năm qua. Lỗi này đạt mức 9.3 trên tổng 10 điểm theo Hệ thống Tính điểm Tổn thương Chung - CVSS (Common Vulnerability Scoring System), một sự đo đếm độ nghiêm trọng trong an toàn máy tính, “ảnh hưởng tới các sản phẩm Windows và Office”, kể từ năm 1995, cũng như “các nền tảng máy chủ Windows của Microsoft - đặt ra sự an toàn của các website mà điều khiển dữ liệu được mã hóa vào rủi ro”. “Lỗi đó có thể đáng giá hơn so với 6 con số khi nó được bán cho những kẻ đột nhập phạm tội”. Vì độ rộng của lỗi, người sử dụng Windows tất cả các phiên bản được khuyến cáo khẩn cấp tải về và cập nhật. Không có bản vá cho Windows XP!. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer và Windows. Nguy hiểm: Microsoft làm việc với FBI để phá an ninh Internet và Tòa án Liên bang Mỹ ra lệnh cho Microsoft phải trao các thư điện tử được lưu trữ trên các máy chủ ở nước ngoài cho các nhà chức trách Mỹ. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
Microsoft đã vá một lỗi sống còn trong phần mềm của hãng mà đã tồn tại 19 năm qua.
Các nhà nghiên cứu của IBM đã phát hiện lỗi này, nó ảnh hưởng tới các sản phẩm Windows và Office, vào tháng 5 năm nay - mà đã làm việc với Microsoft để sửa nó trước khi đưa ra công khai.
Lỗi đó đã hiện diện trong từng phiên bản của Windows kể từ 95, IBM nói.
Những kẻ tấn công có thể khai thác lỗi này để kiểm soát từ xa một máy tính cá nhân PC, và vì thế những người sử dụng đang bị thúc giục tải về các bản cập nhật.
Microsoft đã giải quyết vấn đề trong bản cập nhật an ninh tháng này của hãng - đưa ra 14 bản vá, với 2 bản vá nữa được kỳ vọng sẽ được đưa ra sớm.
Trong một bài trên blog giải thích sâu chỗ bị tổn thương, nhà nghiên cứu của IBM Robert Freeman đã viết: “Lỗi đó có thể được một kẻ tấn công sử dụng cho các cuộc tấn công có dẫn dắt để chạy một cách đáng tin cậy mã từ ở xa và kiểm soát máy của người sử dụng”.
Trong an toàn máy tính, một cuộc tấn công có dẫn dắt thường có nghĩa là những người sử dụng tải về phần mềm độc hại. Lỗi đó đã từng “ngồi đó nhìn thấy rõ ràng”, IBM nói.
Chỗ bị tổn thương - có tên gọi là WinShock theo một số người - đã đạt điểm 9.3 trong bảng số 10 điểm có thể trong Hệ thống Tính điểm Tổn thương Chung - CVSS (Common Vulnerability Scoring System), một sự đo đếm độ nghiêm trọng trong an toàn máy tính.
Sáu con số
Lỗi đó cũng tồn tại trong các nền tảng máy chủ Windows của Microsoft - đặt ra sự an toàn của các website mà điều khiển dữ liệu được mã hóa vào rủi ro.
Đặc biệt, nó có liên quan tới Kênh An toàn của Microsoft (Microsoft Secure Channel), được biết tới như là Schannel, phần mềm của Microsoft cho việc triển khai sự truyền an toàn các dữ liệu.
Schannel bây giờ tham gia vào các tiêu chuẩn an toàn chủ chốt khác - Apple SecureTransport, GNUTLS, OpenSSL và NSS - mà có một lỗi chủ chốt được phát hiện vào năm nay.
Các chuyên gia an toàn đã so sánh lỗi mới nhất này với các vấn đề đáng kể khác mà đã được đưa ra ánh sáng trong năm nay như Heartbleed.
Tuy nhiên, họ đã bổ sung thêm rằng trong khi ảnh hưởng của nó có thể cũng đáng kể, thì nó có thể là khó khăn hơn cho những kẻ tấn công để khai thác.
Như với Heartbleed, sự khai thác có liên quan tới các chỗ bị tổn thương trong công nghệ được sử dụng để truyền dữ liệu an toàn - được biết tới như là SSL (Secure Sockets Layer).
Không có bằng chứng lỗi được IBM nhận diện đó đã bị khai thác “trong tự nhiên hoang dã”, nhưng bây giờ khi bản vá đó đã được đưa ra và vấn đề được công khai, thì các chuyên gia đã đoán trước được các cuộc tấn công trong các máy lỗi thời có thể “có khả năng”.
Lỗi đó có thể đáng giá hơn so với 6 con số khi nó được bán cho những kẻ đột nhập phạm tội, các nhà nghiên cứu bổ sung thêm.
Gavin Millard, từ Tenable Network Security, nói thực tế đã chưa từng có các cuộc tấn công nào lại chưa làm cụt hứng các mối lo ngại.
“Trong khi không mã chứng minh khái niệm nào nổi lên cả, thì vì Microsoft may mắn ngậm miệng về các chi tiết chính xác của chỗ bị tổn thương, sẽ không lâu cho tới khi người ta làm, điều có thể là thảm họa cho bất kỳ người quản trị nào mà không cập nhật”.
“Liệu WinShock có tệ như Heartbleed hay không? Vào lúc này, vì thiếu các chi tiết và mã chứng minh khái niệm, khó để nói, nhưng một chỗ bị tổn thương thực thi mã ở xa có ảnh hưởng tới tất cả các phiên bản máy chủ Windows trong một thành phần phổ biến như Schannel sẽ nổi lên ở đó với sự tồi tệ nhất trong số chúng”.
Đi theo Dave Lee trên Twitter @DaveLeeBBC
Microsoft has patched a critical bug in its software that had existed for 19 years.
IBM researchers discovered the flaw, which affects Windows and Office products, in May this year - but worked with Microsoft to fix the problem before going public.
The bug had been present in every version of Windows since 95, IBM said.
Attackers could exploit the bug to remotely control a PC, and so users are being urged to download updates.
Microsoft has addressed the problem in its monthly security update - releasing 14 patches, with two more expected to be rolled out soon.
In a blog post explaining the vulnerability in depth, IBM researcher Robert Freeman wrote: "The bug can be used by an attacker for drive-by attacks to reliably run code remotely and take over the user's machine."
In computer security, a drive-by attack typically means making users download malicious software.
The bug had been "sitting in plain sight", IBM said.
The vulnerability - dubbed WinShock by some - has been graded as 9.3 out of a possible 10 on the Common Vulnerability Scoring System (CVSS), a measure of severity in computer security.
Six figures
The bug also exists in Microsoft's Windows Server platforms - putting the security of websites that handle encrypted data at risk.
Specifically, it related to Microsoft Secure Channel, known as Schannel, Microsoft's software for implementing secure transfer of data.
Schannel now joins the other major secure standards - Apple SecureTransport , GNUTLS, OpenSSL and NSS - in having a major flaw discovered this year.
Security experts had compared this latest flaw to other significant problems that had come to light this year such as the Heartbleed bug.
However, they added that while its impact could be just as significant, it might be more difficult for attackers to exploit.
As with Heartbleed, the exploit relates to vulnerabilities in the technology used to transfer data securely - known as SSL (Secure Sockets Layer).
There is no evidence the bug identified by IBM has been exploited "in the wild", but now that a patch has been issued and the problem made public, experts have predicted attacks on out-of-date machines would be "likely".
The bug would have probably been worth more than six figures had it been sold to criminal hackers, the researchers added.
Gavin Millard, from Tenable Network Security, said the fact there had been no known attacks yet should not dampen concerns.
"Whilst no proof-of-concept code has surfaced yet, due to Microsoft thankfully being tight-lipped on the exact details of the vulnerability, it won't be long until one does, which could be disastrous for any admin that hasn't updated.
"Is WinShock as bad as Heartbleed? At the moment, due to the lack of details and proof-of-concept code, it's hard to say, but a remote code execution vulnerability affecting all versions of Windows server on a common component like Schannel is up there with the worst of them."
Follow Dave Lee on Twitter @DaveLeeBBC
Dịch: Lê Trung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...