Ít nhất 6 khiếm khuyết trong số nói trên có thể biến Windows thành “con mồi” ngon của những chương trình tấn công tương tự như Blaster. Một lỗi khác, liên quan đến một file khá phổ biến được sử dụng trong trình duyệt Intღernet Explorer, Outlook và Outlook Express, có thể mở đường cho virus tấn công khi người sử dụng click vào một đường link web mà tin tặc dựng sẵn.
Bản nâng cấp lớn nhất, MS04-011, vá ít nhất 14 lỗi. Một lỗ thủng trong công cụ Help and Support Center có thể ảnh hưởng cả Windows 2003 và Windows XP. Lỗi trong định dạng hình ảnh Windows Meta File thì có thể𝓰 cho phép kẻ tấn công tạo ra một file hình ảnh số rồi sử dụng để khống chế những máy tính chạy Windows NT, 2000 hoặc XP. Ít nhất 6 trong số 14 lỗi nà♔y có nguy cơ để cho hacker khống chế máy tính từ xa.
Phát ngôn viên của M✃icrosoft cho biết thay vì cung cấp những bản vá lỗi đơn lẻ ngay sau khi có thông báo, họ 🍷phát hành gói phần mềm này với hy vọng đem lại một công cụ xử lý rộng hơn, bao trùm tất cả các loại khiếm khuyết.
Trong khi đó, nhiều nhà nghiên cứu an ninh bảo mật lại cho rằng động thái này của Microsoft có tính khuếch trương thanh thế hơn là đem lại sự tiện dụng thực sự về an ninh cho người sử dụng. Marc Maiffret, Trưởng ban nghiên cứu hacking của hãng eEye Digital Security, nói: “Đợt phát hành này khẳng định một xu hướng đang diễn ra, liên quan đến vấn đề an ninh của Microsoft gần đây: họ sẵn sàng để mặc cho người sử dụng đứng trước nguy cơ trong thời gian dài. Họ tung ra cả một mớ phần mềm nâng cấp như thế này với hy vọng tạo nên cảm giác rằng các mối đe dọa sẽ bớt đi. Như vậy thật khó chấp nhận”.
eEye Digital Security, đơn vị đã phát hiện ra 6 trong số lỗi mà Microsoft phát hành bản nâng cấp, cũng lên ti♋ếng chỉ trích hãng phần mềm về việc để "om" tới 216 ngày mới đưa ra phần mềm mới cho nhóm khiếm khuyết này.
Một số công ty an ninh khác lại có thái độ nhẹ nhàng hơn. Gerhard Eschelbeck, Giám đốc công nghệ của hãng Qualys, nói: “Không thể nói chung chung là Microsoft quá chậm trễ trong việc vá lỗi. Vấn đề phụ thuộc vào việc khiếm khuyết nằm ở chỗ nào trong mã”. Qualys đã tìm ra 2 lỗi của Windows, trong đó có một lỗ hổng liên quan đến thư viện mã mạng mà hãng này cho rằng Microsoft có thể chỉ mất 2 tháng là xử lý xong. Trên thực tế thì Microsoft đã làm việc này vì một lỗi tương tự như vậy cũng đã được eEye Digital Security phát hiện hồi tháng 2.
Eschelbeck tin rằng người khổng lồ phần mềm đang làm đúng khi tung ra một gói phần mềඣm chung cho tất cả các lỗ thủng trên nền Windows thay vì vội vàng đưa ra ngay những phiên bản vá lỗi lẻ tẻ nhiều lần. Qualys từng phát hiện ra rằng các doanh nghiệp có hệ thống máy tính bị khiếm khuyết thường mất ít nhất 30 🅠ngày để khắc phục những lỗ thủng nghiêm trọng nhất.
“Mọi người đều biết đây là đợt phát hành đúng hạn và khách hàng có trọn gói phần mềm mới. Điều đó chả tốt sao?”, Eschelbeck kết luận, đồng thời lưu ý các doanh nghiệp và cá nhân nên áp dụng ít nhất là bản nâng cấp đầu tiên trong đợt này.
Microsoft không bình luận gì về nguy cơ của các lỗ hổng mà chỉ nhấn mạnh rằng những ai áp dụng ဣphần mềm nâng cấp mới sẽ không còn đau đầu với mọi nguy cơ an ninh.
Phan Khương (theo CNet)