Microsoft khai tử Indeo Codec

Thursday, November 12, 2009 Unknown 0 Comments



Nhóm bảo mật của Microsoft cho biết công ty này đã quyết định loại bỏ một ứng dụng chạy video 17 năm tuổi trong những phiên bản Windows cũ thay vì phải vá hàng loạt lỗ hổng.


Thứ ba vừa qua, cùng ngày phát hành 6 bản cập nhật bảo mật vá 12 lỗ hổng, Microsoft cũng đã phát hành một bản cập nhật bảo mật “không bình thường”, theo đó chặn công cụ Indeo Codec, một phần mềm nén và giải nén dữ liệu dạng video, không cho phép ứng dụng Internet Explorer và Windows Media Player sử dụng. Bản cập nhật đó cũng chặn một số ứng dụng khác truy cập vào Internet để tải công cụ nén/giải nén này.

Mặc dù Microsoft không cho biết chính xác số lượng lỗ hổng chưa được vá trong Indeo Codec, nhưng ít nhất đã có hai công ty bảo mật, gồm VeriSign iDefense và Fortinet, đã đưa ra những cảnh báo riêng về lỗ hổng trong Indeo vào hôm thứ ba. Lỗ hổng mà iDefense phát hiện đã được báo cáo tới Microsoft từ hơn một năm trước.

Bản hướng dẫn bảo mật đó chỉ dành cho các phiên bản “thọ” nhất của hệ điều hành Windows, gồm: Windows 2000, Windows XP và Windows Server 2003. Hệ điều hành Windows Vista, Windows 7 và Windows Server 2008 đã chặn tải Indeo Codec. Công cụ Codec này được Intel giới thiệu từ năm 1992.

Microsoft cho biết, bằng cách ngăn không cho Internet Explorer và Windows Media Player sử dụng Codec này, người dùng sẽ được bảo vệ trước các cuộc tấn công chiếm quyền điều khiển thường được tiến hành theo cách thức lừa người dùng truy cập vào các trang độc.

Đây là một hành động bất bình thường của Microsoft khi không thực hiện vá những lỗ hổng đã được phát hiện mà thay vào đó thẳng tay loại bỏ ứng dụng. Vào hôm thứ 5, trong một email phát ngôn viên của Microsoft đã thừa nhận rằng “Đây là một trường hợp hi hữu, vì rất khó để có thể loại bỏ tính năng từ những sản phẩm mà khách hàng hiện đang sử dụng mà không làm ảnh hưởng đến những ứng dụng khác.”

Vá công cụ Codec này không quá khó khăn, Richie Lai, giám đốc nghiên cứu lỗ hổng tại công ty bảo mật Qualys, nhận định. “Microsoft đã thực hiện một số thay đổi cho Windows Vista và Windows 7, và Indeo hiện được sử dụng rất ít. Tôi thấy đây là một hành động nhằm giảm thiểu nguy cơ tấn công.”

Có vẻ như đây cũng chính là chủ trương của Microsoft. Người phát ngôn của Microsoft nói “Trong trường hợp này, chúng tôi đã thực hiện một số thay đổi có chiều sâu nhằm giảm nguy cơ tấn công, việc loại bỏ chức năng của Codec này sẽ hữu hiệu hơn vá một số lỗ hổng nào đó, bởi vì chỉ có như vậy người dùng mới có được một khả năng bảo vệ toàn diện trước những lỗ hổng trong một phiên bản Codec lạc hậu và ít được sử dụng.”

Microsoft khẳng định rằng với những ứng dụng được cài đặt trên ổ đĩa, như Game, sử dụng Indeo Codec vẫn có thể hoạt động được bình thường.

Đây không phải là lần đầu tiên Microsoft từ chối vá lỗ hổng trong ứng dụng. Tháng 9 năm ngoái, Microsoft tuyên bố rằng việc vá một lỗ hổng trong giao thức TCP/IP của hệ điều hành Windows 2000 Server SP4 không có tác dụng, bởi vì khi đó sẽ phải tái cơ cấu lại rất nhiều thành phần trong hệ điều hành này, sau đó cũng không có gì đảm bảo rằng những ứng dụng được thiết kế vận hành trên Windows 2000 Server SP4 có thể vận hành trên hệ điều hành đã được cập nhật.

Jason Miller, trưởng nhóm quản lý dữ liệu và bảo mật của nhà cung cấp giải pháp quản lý bản vá Shavlik Technologies, nhận xét “Có thể đây sẽ là một xu hướng mới.”

“Chúng tôi tin rằng phương pháp này sẽ cung cấp khả năng bảo mật tốt hơn cho khách hàng so với việc vá một số lỗ hổng,” phát ngôn viên của Microsoft nói.

Người dùng có thể tải bản cập nhật 954157 giúp chặn công cụ Codec cho Windows 2000, Windows XP, và Windows Server 2003 qua cơ chế cập nhật tự động của Windows Update.

Xian (Theo ComputerWorld)

0 comments: