Microsoft khẩn cấp vá lỗ hổng bảo mật nghiêm trọng

Theo CNET, lỗ hổng bảo mật được Microsoft đánh giá là “nghiêm trọng”, biểu thị mức độ đe dọa cao nhất mà theo giải thích của công ty, nó có thể cho phép tin tặc kiểm soát hoàn toàn hệ thống bị ảnh hưởng. Kẻ tấn công có thể cài đặt các chương trình, xem/thay đổi/xóa dữ liệu hoặc tạo tài khoản mới với đầy đủ quyền người dùng.

Lỗ hổng nghiêm trọng mới ảnh hưởng đến cả phiên bản thử nghiệm của Windows 10

Lỗ hổng này ảnh hưởng đến tất cả người dùng của Windows Vista, 7, 8/8.1 và Windows RT, chiếm 2/3 số lượng 1,5 tỷ máy tính chạy Windows trên toàn thế giới. Microsoft đã quyết định cung cấp bản vá lỗi khẩn cấp này mà không chờ đến lịch trình cập nhật bảo mật hàng tháng, còn gọi là Patch Tuesday. Lần gần đây nhất công ty cung cấp bản vá bảo mật tương tự là vào ngày 11.11.2014.

Microsoft cho biết, một hacker có thể tấn công người dùng Windows bằng cách thuyết phục họ mở một tập tin được thiết kế đặc biệt, hoặc truy cập vào một trang web bị tổn hại bởi lỗ hổng OpenType, một định dạng phông chữ được sử dụng rộng rãi do Microsoft và Adobe cùng phát triển.

Các nhà nghiên cứu bảo mật máy tính đã tìm ra lỗ hổng bằng cách xem xét một loạt bộ sưu tập các email bị rò rỉ trực tuyến sau khi các kẻ tấn công đăng tải nhiều dữ liệu, bao gồm email riêng của hãng chuyên cung cấp phần mềm gián điệp cho các cơ quan thực thi pháp luật và tính báo Hacking Team ở Ý, lên WikiLeaks hồi đầu tháng này. Báo cáo cũng cho biết, lỗ hổng được phát hiện bởi nhà nghiên cứu bảo mật Genwei Jiang đến từ FireEye và Mateusz Jurczyk đến từ nhóm bảo mật Google Project Zero.

Việc tung bản vá lỗi khẩn cấp này diễn ra trong một thời điểm nhạy cảm với Microsoft, khi công ty đang chuẩn bị cho sự ra mắt của phiên bản hệ điều hành Windows 10. Microsoft đã chào mời đây là hệ điều hành an toàn hơn so với các phiên bản trước của Windows. Điều này nhờ các công nghệ mới như Device Guard - công cụ phần mềm có chức năng ngăn chặn các loại tấn công phổ biến hiện nay, và Windows Hello - một hệ thống bảo mật sinh trắc học mới, cho phép nhận diện khuôn mặt người dùng, quét mống mắt hoặc nhận dạng dấu vân tay để mang đến cho máy tính một lớp bảo vệ mới.

Mặc dù vậy, lỗ hổng bảo mật mới được cho là xuất hiện ngay cả trong những phiên bản thử nghiệm mới nhất của Windows 10, được cho là phiên bản thử nghiệm cuối cùng trước khi phần mềm đến tay công chúng và các nhà sản xuất thiết bị. Windows 10 sẽ được cung cấp như là lựa chọn nâng cấp miễn phí cho tất cả người dùng Windows 7 và 8.1, bắt đầu từ thứ 4, ngày 29.7.

Microsoft cho biết, đa số người dùng Windows khi kích hoạt chức năng tự động cập nhật sẽ được cập nhật bản vá lỗ hổng, trong khi những người tắt tính năng này có thể tải bản vá bảo mật từ trang web hỗ trợ cập nhật bảo mật của Microsoft. Công ty này cho biết, đã có những bằng chứng cho thấy lỗ hổng được sử dụng để tấn công người dùng Windows.