Hôm qua (22/8), Microsoft đã thông báo về 3 lỗ hổng trong phần mềm Office. Những lỗ hổng này có thể tạo điều kiện cho hacker xem và sửa đổi các văn bản được tạo ra bởi chương trình Office. Lỗ hổng nghiêm trọng nhất trong số đó giúp cho hacker nắm quyền điều khiển hoàn toàn máy tính.
Tất cả 3 lỗ hổng nói trên đều nằm trong thành phần spreadsheet của Office Web Components (OWC) - một phần mềm cho phép cài đặt một số tính năng của Office vào trình duyệt Web để xem văn bản, mà không cần phải cài đặt cả bộ Office. OWC được tích hợp trong rất nhiều sản phẩm của Microsoft như BackOffice Server 2000, BizTalk Server 2000, BizTalk Server 2002, Commerce Server 2000, Commerce Server 2002, Internet Security and Acceleration Server 2000, Money 2002, Money 2003, Office 2000, Office XP, Project 2002, Project Server 2002, và Small Business Server 2000. Người sử dụng cũng có thể download OWC dưới dạng một phần mềm riêng.
Lỗ hổng nghiêm trọng nhất nằm trong chức năng ''Host()'' của thành phần spreadsheet của OWC. Một hacker có thể thực thi bất cứ thao tác nào trên máy tính như người sử dụng hợp pháp, bằng cách gửi một e-mail có cấu tạo đặc biệt đến người sử dụng, hoặc đánh lừa anh ta truy cập vào một Website có chứa trang mã hiểm độc.
Hai lỗ hổng còn lại nằm trong chức năng ''LoadText()'' và ''Copy()/Paste()'' của OWC. Lỗ hổng này làm lộ các file trong máy tính. Tuy nhiên, để đọc được các file này, hacker phải biết được vị trí của file, và file này phải có khả năng đọc được trong trình duyệt.
Miếng vá cho 3 lỗ hổng nói trên đã được Microsoft đưa lên Web. Có thể tải xuống tại đây. Riêng đối với người sử dụng Office XP, Microsoft khuyến cáo cài đặt bản Office XP Service Pack 2.
(Đăng Khoa - Theo PCWorld.com) |