Thứ Năm, 4 tháng 3, 2010

Một ngày khác, lại một lỗ hổng an ninh khác của Internet Explorer

Another day, another Internet Explorer security hole

by sjvn

Dường như là cứ mỗi tuần khác lại có một lỗ hổng an ninh của Internet Explorer. Đây là câu chuyện mới nhất.

It seems like every other week there's a new Internet Explorer security hole. Here's the story on the latest.

March 1, 2010, 03:48 PM —

Theo: http://www.itworld.com/internet/96676/replace-ie6-anything-ie-8

Bài được đưa lên Internet ngày: 01/03/2010

Lời người dịch: Cái cách mà Windows được trợ giúp như trong bài viết này, thì có lẽ sẽ được gọi là “xưa nay hiếm”, vì “Bây giờ, liệu điều đó có thú vị không? Hệ thống rất trợ giúp của Microsoft dựa trên 'các dạng tệp không an toàn'. Với sự trợ giúp như thế này, ai cần những kẻ thù nhỉ?. Điều này chỉ là bằng chứng hơn nữa về những gì tôi từ lâu đã nói về Windows là không an ninh bởi thiết kế của nó”. Nhiều hãng đã bắt đầu từ bỏ hỗ trợ IE6, mà tác giả bài viết này thì khuyên là “Hãy thay thế IE6 bằng bất kỳ thứ gì, nhưng không phải là IE8” là được. Đi đâu bây giờ nhỉ??? Ấy vậy mà không biết chừng người ta sẽ xây dựng hàng đống các “công cụ và giải pháp an ninh an toàn” chỉ để chạy được trên Windows và IE cũng nên. Một thứ “Dã tràng xe cát biển Đông” chăng???

Hãy tha thứ cho tôi về việc như là phá vỡ kỹ lục, nhưng lại một lỗ hổng an ninh khác của Internet Explorer đã được phát hiện. Liệu có điểm dừng nào trên các con đường mà IE có thể bị phá hỏng không nhỉ? Dường như không giống thế.

[Hãy thay thế IE6 bằng bất kỳ thứ gì, nhưng không phải là IE8]

Theo người quản lý hàng đầu về truyền thông an ninh cao cấp của Microsoft Jerry Bryant, một khai thác “đã được đưa lên công khai mà nó có thể cho phép một kẻ tấn công đưa lên một trang web bị lừa đảo bởi phần mềm độc hại và chạy một cách tùy ý mã nguồn nếu chúng có thể thuyết phục được một người sử dụng tới thăm trang web đó và sau đó để họ nhấn phím F1 để trả lời cho một hộp thoại pop up”.

Microsoft nói rằng, cho tới khi họ biết, còn chưa ai sử dụng khai thác này. Vâng, và tôi không biết rằng ai đó đang chơi khúc côn cầu tại Canada hôm nay, nhưng tôi muốn cược rằng ai đó đang chơi.

Bryant tiếp tục, “Vấn đề này theo yêu cầu có liên quan tới việc sử dụng VBScript và các tệp trợ giúp của Windows trong Internet Explorer. Các tệp trợ giúp của Windows được đưa vào tng một danh sách dài của những gì tôi tham chiếu tới như là 'các dạng tệp không an toàn'. Đây là những dạng tệp được thiết kế để gọi các hành động tự động trong khi sử dụng thông thường các tệp. Trng khi chúng có thể là những công cụ rất có giá trị năng suất, thì chúng cũng có thể được sử dụng bởi những kẻ tấn công để cố gắng và gây tổn thương cho một máy tính”.

Forgive me for sounding like a broken record, but yet another Internet Explorer security hole has been revealed. Is there no end to the ways that IE can be broken into? It doesn't look like it!

[ Replace IE6 with anything but IE 8 ]

In this latest flaw, there's an unpatched bug in VBScript that hackers can use to drop malware on 32-bit Windows XP machines running IE 7 and 8.

According to Microsoft's Senior Security Communications Manager Lead Jerry Bryant, an exploit "was posted publicly that could allow an attacker to host a maliciously crafted web page and run arbitrary code if they could convince a user to visit the web page and then get them to press the F1 key in response to a pop up dialog box."

Microsoft says that, as far as they know, no one's using this exploit yet. Yeah, and I don't know that anyone is playing hockey in Canada today, but I'm willing to bet someone is.

Bryant continued, "The issue in question involves the use of VBScript and Windows Help files in Internet Explorer. Windows Help files are included in a long list of what we refer to as 'unsafe file types.' These are file types that are designed to invoke automatic actions during normal use of the files. While they can be very valuable productivity tools, they can also be used by attackers to try and compromise a system."

Bây giờ, liệu điều đó có thú vị không? Hệ thống rất trợ giúp của Microsoft dựa trên 'các dạng tệp không an toàn'. Với sự trợ giúp như thế này, ai cần những kẻ thù nhỉ? Điều này chỉ là bằng chứng hơn nữa về những gì tôi từ lâu đã nói về Windows là không an ninh bởi thiết kế của nó.

Tôi chắc là Microsoft sẽ sửa được lỗ hổng an ninh cụ thể này của IE. Những chàng trai từ Redmond còn có thể hoàn thành được cho bản vá ngày thứ 3 tiếp sau đây, ngày 09/03. Nhưng những gì họ không thể làm là sửa những chỗ vỡ được xây dựng sẵn trong nền tảng của Windows. Đây chính là một vấn đề của thời gian trước khi khai thác khác sẽ chỉ ra mà nó lợi dụng các tệp trợ giúp của Windows.

Trên Linux và Mac, vấn đề này đơn giản là không tồn tại. Hãy trao cho tôi những ngôi nhà an toàn và lỗi mode tốt lành Linux hoặc Unix Man Page bất kỳ ngày nào. Họ có thể xấu xí như một tội lỗi, nhưng không ai bao giờ có một lỗi từ việc sử dụng chúng!

Trong khi chờ đợi, nếu tôi không thể nói cho bạn từ bỏ Windows, thì bạn hãy tự bạn vì lợi ích của mình hãy chuyển sang một trình duyệt khác chăng? Một lần nữa, lựa chọn của bạn cho các trình duyệt web thay thế bao gồm Chrome, Firefox, Opera (mà dường như sẽ là an toàn hơn bao giờ hết) hoặc Safari. Bất kỳ cái nào trong số này cũng lẽ làm cho Internet an toàn hơn cho bạn.

Now, isn't that interesting? Microsoft's very help system is based on 'unsafe file types.' With help like this, who needs enemies? This is just more proof of what I've long said about Windows being insecure by design.

I'm sure Microsoft will fix this specific IE security hole. The boys from Redmond may even get it done by the next Patch Tuesday, March 9th. But what they can't do is fix the built-in cracks in Windows' foundation. It's only a matter of time before yet another exploit will show up that takes advantage of Windows' Help files.

In Linux or on a Mac, this problem simply doesn't exist. Give me a good old-fashioned and safe as houses Linux or Unix Man Page any day. They may be ugly as sin, but no one ever got a bug from using them!

In the meantime, if I can't talk you out of Windows, would you do yourself a favor and switch to another browser? Once more, your selection of alternative Web browsers includes Chrome, Firefox, Opera (which seems to be faster than ever) or Safari. Any of them will make roaming the Internet safer for you.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.