Anotherday, another Internet Explorer security hole
bysjvn
Dườngnhư là cứ mỗi tuần khác lại có một lỗ hổng an ninhcủa Internet Explorer. Đây là câu chuyện mới nhất.
Itseems like every other week there's a new Internet Explorer securityhole. Here's the story on the latest.
March1, 2010, 03:48 PM —
Theo:http://www.itworld.com/internet/96676/replace-ie6-anything-ie-8
Bàiđược đưa lên Internet ngày: 01/03/2010
Lờingười dịch: Cái cách mà Windows được trợ giúp nhưtrong bài viết này, thì có lẽ sẽ được gọi là “xưanay hiếm”, vì “Bây giờ,liệu điều đó có thú vị không? Hệ thống rất trợgiúp của Microsoft dựa trên 'các dạng tệp không an toàn'.Với sự trợ giúp như thế này, ai cần những kẻ thùnhỉ?. Điều này chỉ là bằng chứng hơn nữa về nhữnggì tôi từ lâu đã nói về Windows là không an ninh bởithiết kế của nó”. Nhiều hãng đã bắt đầu từbỏ hỗ trợ IE6, mà tác giả bài viết này thì khuyên là“Hãy thay thế IE6 bằng bất kỳ thứ gì, nhưng khôngphải là IE8” là được. Đi đâu bây giờ nhỉ??? Ấyvậy mà không biết chừng người ta sẽ xây dựng hàngđống các “công cụ và giải pháp an ninh an toàn” chỉđể chạy được trên Windows và IE cũng nên. Một thứ“Dã tràng xe cát biển Đông” chăng???
Hãy tha thứ cho tôivề việc như là phá vỡ kỹ lục, nhưng lại một lỗhổng an ninh khác của Internet Explorer đã được pháthiện. Liệu có điểm dừng nào trên các con đường màIE có thể bị phá hỏng không nhỉ? Dường như khônggiống thế.
[Hãythay thế IE6 bằng bất kỳ thứ gì, nhưng không phải làIE8]
Theo người quản lýhàng đầu về truyền thông an ninh cao cấp của MicrosoftJerry Bryant, một khai thác “đã được đưa lên công khaimà nó có thể cho phép một kẻ tấn công đưa lên mộttrang web bị lừa đảo bởi phần mềm độc hại và chạymột cách tùy ý mã nguồn nếu chúng có thể thuyết phụcđược một người sử dụng tới thăm trang web đó vàsau đó để họ nhấn phím F1 để trả lời cho một hộpthoại pop up”.
Microsoft nói rằng,cho tới khi họ biết, còn chưa ai sử dụng khai thác này.Vâng, và tôi không biết rằng ai đó đang chơi khúc côncầu tại Canada hôm nay, nhưng tôi muốn cược rằng ai đóđang chơi.
Bryant tiếp tục, “Vấnđề này theo yêu cầu có liên quan tới việc sử dụngVBScript và các tệp trợ giúp của Windows trong InternetExplorer. Các tệp trợ giúp của Windows được đưa vàotng một danh sách dài của những gì tôi tham chiếu tớinhư là 'các dạng tệp không an toàn'. Đây là những dạngtệp được thiết kế để gọi các hành động tự độngtrong khi sử dụng thông thường các tệp. Trng khi chúng cóthể là những công cụ rất có giá trị năng suất, thìchúng cũng có thể được sử dụng bởi những kẻ tấncông để cố gắng và gây tổn thương cho một máy tính”.
Forgiveme for sounding like a broken record, but yet another InternetExplorer security hole has been revealed. Is there no end to theways that IE can be broken into? It doesn't look like it!
[ReplaceIE6 with anything but IE 8 ]
Inthis latest flaw, there's an unpatched bug in VBScript that hackerscan use to d-rop malware on 32-bit Windows XP machines running IE 7and 8.
Accordingto Microsoft'sSenior Security Communications Manager Lead Jerry Bryant, anexploit "was posted publicly that could allow an attacker tohost a maliciously crafted web page and run arbitrary code if theycould convince a user to visit the web page and then get them topress the F1 key in response to a pop up dialog box."
Microsoftsays that, as far as they know, no one's using this exploit yet.Yeah, and I don't know that anyone is playing hockey in Canada today,but I'm willing to bet someone is.
Bryantcontinued, "The issue in question involves the use of VBScriptand Windows Help files in Internet Explorer. Windows Help files areincluded in a long list of what we refer to as 'unsafe file types.'These are file types that are designed to invoke automatic actionsduring normal use of the files. While they can be very valuableproductivity tools, they can also be used by attackers to try andcompromise a system."
Bâygiờ, liệu điều đó có thú vị không? Hệ thống rấttrợ giúp của Microsoft dựa trên 'các dạng tệp không antoàn'. Với sự trợ giúp như thế này, ai cần những kẻthù nhỉ? Điều này chỉ là bằng chứng hơn nữa vềnhững gì tôi từ lâu đã nói về Windows là không an ninhbởi thiết kế của nó.
Tôichắc là Microsoft sẽ sửa được lỗ hổng an ninh cụ thểnày của IE. Những chàng trai từ Redmond còn có thể hoànthành được cho bản vá ngày thứ 3 tiếp sau đây, ngày09/03. Nhưng những gì họ không thể làm là sửa nhữngchỗ vỡ được xây dựng sẵn trong nền tảng củaWindows. Đây chính là một vấn đề của thời gian trướckhi khai thác khác sẽ chỉ ra mà nó lợi dụng các tệptrợ giúp của Windows.
TrênLinux và Mac, vấn đề này đơn giản là không tồn tại.Hãy trao cho tôi những ngôi nhà an toàn và lỗi mode tốtlành Linux hoặc Unix Man Page bất kỳ ngày nào. Họ có thểxấu xí như một tội lỗi, nhưng không ai bao giờ có mộtlỗi từ việc sử dụng chúng!
Trongkhi chờ đợi, nếu tôi không thể nói cho bạn từ bỏWindows, thì bạn hãy tự bạn vì lợi ích của mình hãychuyển sang một trình duyệt khác chăng? Một lần nữa,lựa chọn của bạn cho các trình duyệt web thay thế baogồm Chrome, Firefox, Opera (mà dường như sẽ là an toàn hơnbao giờ hết) hoặc Safari. Bất kỳ cái nào trong số nàycũng lẽ làm cho Internet an toàn hơn cho bạn.
Now,isn't that interesting? Microsoft's very help system is based on'unsafe file types.' With help like this, who needs enemies? This isjust more proof of what I've long said about Windowsbeing insecure by design.
I'msure Microsoft will fix this specific IE security hole. The boys f-romRedmond may even get it done by the next Patch Tuesday, March 9th.But what they can't do is fix the built-in cracks in Windows'foundation. It's only a matter of time before yet another exploitwill show up that takes advantage of Windows' Help files.
InLinux or on a Mac, this problem simply doesn't exist. Give me a goodold-fashioned and safe as houses Linuxor Unix Man Page any day. They may be ugly as sin, but no oneever got a bug f-rom using them!
Inthe meantime, if I can't talk you out of Windows, would you doyourself a favor and switchto another browser? Once more, your se-lection of al-ternative Webbrowsers includes Chrome,Firefox,Opera (which seemsto be fasterthan ever) or Safari.Any of them will make roaming the Internet safer for you.
Dịchtài liệu: Lê Trung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...