“Video ActiveX Control�� rắc rối hơn chúng tôi tưởng��

Lỗi ActiveX là 1 trong ba bản vá nghiêm trọng nhất s�� được Microsoft phát hành trong tuần tới.

Các chuyên gia an ninh cho biết l�� hổng nguy hiểm này đã ảnh hưởng trực tiếp đến h�� điều hành Windows XP and Server 2003, m�� đường cho tin tặc thực thi các cuộc tấn công Trojan ăn cắp thông tin bằng cách lừa người truy cập vào những trang web độc hại trên trình duyệt IE.

Mấy tuần gần đây, các chuyên gia đã phát hiện ra các cuộc tấn công khai thác t�� lỗi ActiveX trên hàng trăm nghìn website của Trung Quốc và c�� website đại s�� của Nga �� M��.

Tuy nhiên, điều đáng nói là Microsoft đã mất hơn 1 năm đ�� khắc phục l�� hổng này.

Mike Reavey, GD Trung tâm phản ứng nhanh của Microsoft, giải thích trên blog của hãng rằng tính phức tạp của vấn đ�� đã khiến gã khổng l�� này mất quá nhiều thời gian đ�� nghiên cứu.

Microsoft nhận được cảnh báo lần đầu tiên vào mùa xuân năm 2008. Nhưng việc phát hiện ra l�� hổng ActiveX đã thật s�� rất khó khăn và ngoài tầm kiểm soát hơn những gì h�� nghĩ. Hơn nữa, “người ta đã không dùng chức năng ActiveX Control trên IE và nó đã b�� mặc định vô hiệu hóa trên h�� điều hành Windows Vista��.

“Thực tình nếu chức năng này quá ph�� biến thì chúng tôi đã nhanh chóng tìm thấy căn nguyên của nó��, ông Reavey nói.

Và ông này cũng cho biết, Microsoft đã khuyến khích người dùng nên tắt tính năng ActiveX Control rắc rối này khi s�� dụng IE đ�� tránh phiền phức.

“Một thời gian dài nghiên cứu đã giúp chúng tôi cảm thấy thoải mái hơn khi giúp người dùng bảo v�� chính mình trong bản tin an ninh sắp tới. Chúng tôi đã thiết lập đ�� bản vá s�� t�� động vô hiệu hóa l�� hổng nguy hiểm này��, Reavey chia s��.

Vì sao Microsoft quá chậm tr��?

Ông Reavay giải thích rằng nhóm nghiên cứu của Microsoft phải dành nhiều thời gian đ�� điều tra v�� l�� hổng này bởi trước đó, hãng đã yêu cầu người dùng tắt chức năng ActiveX trong IE. H�� không muốn phát hành bản vá vì nó có th�� s�� làm hỏng các ứng dụng khác của người dùng.

“Khi chúng tôi vô hiệu hóa hay g�� b�� chức năng này, chúng tôi buộc phải nghiên cứu và th�� nghiệm k�� hơn��, v�� giám đốc này cho biết. “Bởi chúng tôi biết nếu làm điều này nó s�� vừa ảnh hưởng đến các ứng dụng của Microsoft vừa tác động đến các chương trình của bên th�� 3��.

Vì th��, theo ông, nếu các phần mềm chính của người dùng b�� hư hỏng, h�� s�� không tiến hành nâng cấp - tạo cơ hội cho tin tặc lấy cắp thông tin đ�� tấn công.

Microsoft cho hay những người dùng đã tiến hành tắt chức năng ActiveX thì không cần thiết phải cài bản vá sắp tới.