Miếng vá cho 4 lỗi trong phần mềm của Microsoft

Hôm qua, Microsoft đưa ra các miếng vá cho 4 lỗ hổng nghiêm trọng vừa được phát hiện trên một số sản phẩm của hãng. Trong đó, có một khiếm khuyết nghiêm trọng mới trong hệ điều hành Windows NT, Windows 2000 và Windows XP.

Mặc dù Chủ tịch tập đoàn Microsoft đã kêu gọi chiến dịch "Trustworthy Computing" (điện toán tin 🦹cậy), sản phẩm của hãng vẫn quá nhiều lỗi.

Theo Microsoft, nghiêm trọng nhất là lỗi tràn bộ đệm trong tính năng phone book của Remote Access Service, một chuẩn trong ba hệ điều hành nói trên. Tin tặc có thể lợi dụng điểm yếu này để điều khiển toàn bộ máy tính của người dùng hoặc làm hỏngဣ hệ thống.

Để thực hiện một cuộc tấn công, trước hết tin tặc cần phải thay đổi thiế🃏t lập RAS trên hệ thống bị ảnh hưởng trước khi kết nối tới hệ thống đang sử dụng RAS. Nếu những thiết lập trên hệ thống mục tiêu hạn chế việc truy cập thì sẽ không bị nguy hiểm. RAS được sử dụng trong những cuộc kết nối dial-up.

Bản thông báo thứ hai đề cập đến lỗi trong các phiên bản Internet Information Server (IIS) 4.0 và 5.0, các thành phần web server của Windows NT 4.0 và Windows 2000. Hacker có thể chạy các đoạn mã chết người 🏅trên hệ thống bằng v💧iệc khai thác lỗi trong phần mềm hỗ trợ scripting HTR, một ngôn ngữ lập trình cũ.

HTR là một phần của IIS kể từ phiên bản 2.0. Nó chưa bao giờ được mọi người ủng hộ nhiều bởi Acti﷽ve Server Pages (ASP), được giới thiệu trong bản IIS 4.0, đã trở nên quá phổ biến trước khi HTR được tung ra. Microsoft khuyến cáo người dùng tắt chức năng HTR và chuyển các đoạn mã sang ASP.

Bản bảo mật thứ ba liên quan đến 2 lỗi trong phần SQLXML của SQL Server 2000. Đây là một trong những lỗi cực kỳ nguy hiểm có t꧃hể cho phép những kẻ tọc mạch nắm quyền kiểm soát hoàn toàn hệ thống đang chạy cơ sở dữ liệu.

Người dùng có thể download các miếng vá theo địa chỉ dưới đây:

Thông tin chi tiết về lỗi RAS và cách khắc phục: //www.microsoft.com/technet/security/
bulletin/MS02-029.asp;

Lỗi và miếng vá cho các phiên bản IIS 4.0 và 5.0: //www.microsoft.com/technet/security/
bulletin/MS02-028.asp.

Thông tin và bản sửa lỗi SQLXML: //www.microsoft.com/technet/security
/bulletin/MS02-030.asp.

Minh Nghĩa (theo PCW)

Trở lại Số hóaTrở lại Số hóa