Video: 35C3 - From Zero to Zero Day (Tháng mười một 2024)
Microsoft tung ra bản cập nhật cho Internet Explorer để đóng lỗ hổng zero-day đã được sử dụng trong một số cuộc tấn công nhắm mục tiêu gần đây.
Bản cập nhật ngoài băng của Microsoft giải quyết lỗ hổng quan trọng trong các phiên bản Internet Explorer 6, 7 và 8, công ty cho biết trong tư vấn bảo mật của mình ngày hôm nay. Công ty trước đó đã phát hành một Fix-It như một cách giải quyết để tạm thời đóng vấn đề. Người dùng đã cài đặt Fix-It không cần gỡ cài đặt trước khi áp dụng bản vá, Microsoft cho biết.
"Phần lớn khách hàng đã bật cập nhật tự động và sẽ không cần thực hiện bất kỳ hành động nào vì các biện pháp bảo vệ sẽ được tải xuống và cài đặt tự động", Microsoft cho biết trong lời khuyên. Người dùng cập nhật IE theo cách thủ công được khuyến khích áp dụng bản cập nhật càng nhanh càng tốt.
Điều quan trọng cần lưu ý là Microsoft đã phát hành một bản vá chứ không phải bản cập nhật tích lũy, Wolfgang Kandek, CTO của Qualys nói. Trước tiên, người dùng cần đảm bảo phiên bản Internet Explorer của họ được cập nhật (và đã cài đặt MS12-077) trước khi áp dụng bản vá (MS13-008), Kandek nói.
Ra khỏi ban nhạc
Bản vá này xuất hiện một tuần sau khi Microsoft lên kế hoạch phát hành Patch thứ ba hàng tháng. Nhiều chuyên gia bảo mật đã tự hỏi liệu điều đó có nghĩa là công ty đang lên kế hoạch chờ đến tháng 2 để sửa lỗi.
"Tôi sẽ không ngạc nhiên khi thấy một bản tin IE khác vào tháng 2 bên cạnh bản vá ngày hôm nay", Andrew Storms, giám đốc hoạt động bảo mật tại nCircle nói. Các bản vá trình duyệt thông thường là một điều tốt vì những kẻ tấn công đang ngày càng tấn công các trình duyệt Web, Storms nói.
Các nhà nghiên cứu tại FireEye đã phát hiện ra vào tháng 12 rằng trang web của Hội đồng Quan hệ đối ngoại đã bị xâm phạm và đang lây nhiễm cho khách truy cập bằng các phiên bản Internet Explorer cũ hơn bằng cách khai thác lỗ hổng này. Sau khi xác định được lỗ hổng zero-day, các nhà nghiên cứu khác đã phát hiện ra các cuộc tấn công tương tự vào các trang web khác, bao gồm nhà sản xuất hệ thống microturbine Capstone Turbine và hai trang web nhân quyền của Trung Quốc. Microsoft đã phát hành một bản sửa lỗi tạm thời, nhưng các nhà nghiên cứu tại Exodus Intelligence đã có thể vượt qua Fix-It và kích hoạt lỗ hổng bảo mật.
Mặc dù công ty đã làm việc khá nhanh để phát hành bản vá này, nhưng vẫn có "khả năng cao" là nhiều người dùng đã không thực hiện các bước cần thiết và một phần lớn người dùng IE sẽ vẫn không được bảo vệ, Mark Elliott, phó chủ tịch điều hành sản phẩm tại Quarri Technologies, nói với SecurityWatch . Điều này nhấn mạnh cách các doanh nghiệp thường "tự hào về cách người dùng cuối có kỹ năng làm quản trị viên bảo mật", Elliott nói.
Người dùng cũng được khuyến khích nâng cấp lên Internet Explorer 9 hoặc 10. Vấn đề ảnh hưởng chủ yếu đến người dùng vẫn đang chạy Windows XP, không thể chạy các phiên bản IE mới hơn.
Marc Maiffret, CTO của BeyondTrust, nói: "Vì các bản vá này giải quyết các lỗ hổng đang bị khai thác ngoài tự nhiên, điều quan trọng là các bản vá được triển khai càng sớm càng tốt".
Để biết thêm từ Fahmida, hãy theo dõi cô ấy trên Twitter @zdFYRashid.