1. Thông tin chung

Thứ ba, ngày 09/03/2010, Microsoft đã phát hành bản tin vá lỗi định kỳ tháng ba với 2 bản vá cho 8 lỗ hổng của Windows Movie Maker và Microsoft Office Excel. Đồng thời, hãng này cũng đưa ra cảnh báo về một lỗ hổng 0-day nguy hiểm trong Internet Explorer.
 

2. Mô tả kỹ thuật

Windows Movie Maker là công cụ hỗ trợ biên tập video sẵn có trong hệ điều hành Windows. Một lỗ hổng trong hàm "IsValidWMToolsStream()" có thể khiến chương trình này bị tràn bộ đệm khi xử lý files project (.mswmm) dị dạng. Bằng cách dụ người dùng mở một file .mswmm được chuẩn bị từ trước, kẻ tấn công có thể thực thi đoạn mã tùy ý trên máy họ. 

Ứng dụng văn phòng phổ biến Microsoft Office Excel, lần này được cập nhật bản vá cho một loạt lỗ hổng trong việc xử lý các dạng bản ghi. Những lỗ hổng này đều được đánh giá là nguy hiểm bởi nếu bị khai thác, đoạn mã bất kỳ có thể được thực thi trên máy người dùng. 

Bên cạnh hai bản vá trên, Microsoft cũng đưa ra cảnh báo về một lỗ hổng mới, đã được khai thác trong cộng đồng mạng, nhưng chưa được vá, của trình duyệt Internet Explorer (IE). Lỗ hổng này nằm ở thư viện iepeers.dll trên IE 6, 7, được xác định rất nguy hiểm bởi nó cho phép kẻ xấu dễ dàng tấn công từ xa và thực thi mã độc.

3. Cập nhật bản vá

Đa phần các lỗi trên đều nằm trong các phần mềm được sử dụng phổ biến, lại có độ nguy hiểm cao và rất cao, vì vậy, Bkis khuyến cáo người dùng những phần mềm trên nên cập nhật các bản vá mới theo một trong hai cách sau:

1. Bấm vào "Start", “All Programs” và chọn Windows Update, để hệ điều hành tự động cập nhật các bản vá lỗi.

2. Vào Website: Microsoft Update để cập nhật bản vá cho các lỗ hổng trên máy tính của mình.

Đối với lỗ hổng 0-day của IE, người sử dụng nên đặt mức security của trình duyệt này lên mức cao nhất, và cảnh giác, không truy nhập vào các website lạ. Đồng thời, chú ý cập nhật thông tin bản vá từ phía nhà sản xuất.

Chuyên viên phân tích: Lê Mạnh Tùng