 |
Lỗi xảy ra khi Windows quản lý các file có định dạng WMF (Windows Metafile) và ảnh hưởng tới nhiều phiên bản Windows khác nhau. Khi một máy tính sơ hở mở phải một file WMF hiểm độc, nó sẽ buộc phải chạy một đoạn mã bên trong, do đó, nếu hacker khai thác lỗ hổng này, chúng có thể chạy các chương trình Trojan hoặc malware trên máy.
Thông báo đầu tiên của Microsoft về lỗ hổng này được đăng tải từ hôm 28/12, cho biết hãng đã nắm được vụ việc từ một ngày trước đó và đang điều tra xem có cần phát hành miếng vá hay không. Đến hôm thứ ba vừa qua, Microsoft tuyên bố đã hoàn thiện miếng vá và đang thử nghiệm trước khi chính thức phát hành vào tuần tới, ngày 10/1/2006. Gã khổng lồ phần mềm khẳng định họ đã kiểm tra và thẩm định bản cập nhật bảo mật rất kỹ càng, cung cấp chúng theo 23 ngôn ngữ khác nhau và hướng tới tất cả các phiên bản Windows chịu ảnh hưởng. Nhưng còn với những phần mềm bảo mật do các hãng thứ ba phát hành, Microsoft cũng tuyên bố không "chịu trách nhiệm" và "không dám đảm bảo".
Số lượng người dùng có khả năng bị "dính đòn" là cực lớn, khi tất cả các phiên bản Windows hiện hành đều mắc phải lỗi này. Tuy nhiên, trên thực tế, số người thực sự bị ảnh hưởng tính tới nay vẫn tương đối thấp.
Song điều đó không có nghĩa là người dùng được phép chủ quan, bởi khả năng đụng phải một file WMF hiểm độc ngày càng tăng trong khi hệ thống vẫn chưa được vá. Trước đây mấy ngày, một website bảo mật đã phải cảnh báo độc giả... tránh xa site của mình. Đấy là trường hợp của knoppix-std.org, khi chủ site này buộc phải post một bài lên diễn đàn, cảnh báo rằng hacker đã sửa đổi site theo hướng khai thức lỗ hổng WMF trên máy tính người xem.
Theo ông Jay Heiser, phó chủ tịch nghiên cứu của Gartner và là chuyên gia hàng đầu của hãng này về các vấn đề bảo mật thông tin thì có "rất nhiều nguy cơ tiềm ẩn" đi kèm với lỗ hổng WMF. "Nó có thể bị khai thác theo vô số cách thức khác nhau, và chính vì thế, nguy cơ thực sự cực kỳ lớn."
"Đây là một chạy đua giữa Microsoft với cộng đồng hacker", ông nói, nhưng rõ ràng là thế lực hắc ám đã xuất phát trước. Các chuyên gia của Websense đã phát hiện thấy một số website hiểm độc sử dụng lỗ hổng này từ hôm 27/12, nhưng trên thực tế, chúng còn đi vào hoạt động ngay từ trước đó nửa tháng.
Trong thời gian chờ đợi miếng vá, Microsoft khuyến cáo người dùng giảm bớt nguy cơ bằng cách vô hiệu hóa một phần hệ điều hành bị ảnh hưởng có tên Shimgvw.dll. tác dụng phụ của miếng vá là khiến cho Windows Picture và Fax View không thể vận hành bình thường, và thậm chí cả Windows Explorer cũng không thể hiển thị thumbnail của ảnh số.
Giải pháp không chính thức
Nhiều nhà nghiên cứu bên ngoài Microsoft lại có ý tưởng khác: thay vì vô hiệu hóa shimgvw.dll, họ sẽ chỉnh sửa lại nó để chỉ có chức năng nào được nhận định là nguy hiểm mới bị chặn. Đến hôm 31/12, nhà lập trình Ilfak Guilfanov đã phát triển xong một miếng vá không chính thức, cho phép giảm thiểu nguy cơ tấn công mà lại không tổn hại gì đến các chức năng đồ họa khác. Miếng vá này nhanh chóng giành được sự ủng hộ của SANS và F-Secure. Bản thân F-Secure cũng đã cài đặt miếng vá này lên toàn bộ máy tính của hãng trước khi khuyến cáo người dùng download.
Một trong những nguyên nhân khiến cho lỗ hổng WMF cực kỳ nguy hiểm là vì chúng có thể "ngụy trang" rất khéo. Thường thì file WMF có thể bị nhận dạng bởi đuôi file .WMF, nhưng nếu hacker chọn cho chúng một đuôi file định dạng ảnh khác, chẳng hạn như .JPG thì sao? (Nên nhớ rằng công cụ xử lý đồ họa của Windows nhận dạng file ảnh qua nội dung chứ không phải theo tên). Đấy chính là trường hợp của file "happynewyear.jpg" bắt đầu phát tán qua đường email trong ngày 31/3 vừa qua: Nếu được mở ra trên máy tính Windows, file này sẽ download và cài đặt một chương trình backdoor tên là Bifrose.
Thiên Ý (Theo PC World)
