Lỗ hổng này chưa thể được vá trong bản cập nhật an ninh vào tuần tới, các chuyên gia nói. Microsoft hôm nay thông báo các hacker đang khai thác một lỗ hổng nghiêm trọng và chưa được vá trong Office 2007 bằng cách sử dụng tài liệu lỗi để chiếm quyền điều khiển máy tính Windows và họ cho biết lỗ hổng này cũng đang tồn tại trong Office 2003 và Office 2010.

Lỗi này có thể xảy ra do một tập tin ảnh lỗi được xem trên trang web hoặc trong email khi một trong các phiên bản Office được cài đặt trên hệ thống.

"Chúng tôi phát hiện được các cuộc tấn công có mục tiêu, chủ yếu ở Trung Đông và Nam Á", Dustin Childs, một ngýời quản lý truyền thông của trung tâm phản ứng bảo mật của Microsoft (Microsoft Security Response Center - MSRC) cho biết trong một bài viết hôm thứ Ba.

Ban đầu chưa biết chính xác phiên bản nào của Windows bị khai thác, do đó cũng chưa xác định được mức độ ảnh hýởng đến khách hàng của Microsoft.

Trong khi Microsoft liệt kê chỉ có Windows Vista và Windows Server 2008 có thể bị khai thác theo tư vấn ban đầu của họ, các nhà nghiên cứu bảo mật của McAfee, những người đã chỉ ra các lỗ hổng cho Microsoft vào hôm thứ Năm vừa qua, nói rằng cả Windows XP và Windows 7 cũng có thể bị khai thác thông qua các tập tin Office độc hại.

"Khi chúng tôi phát hiện được các cuộc tấn công thực hiện thông qua Office 2007 trên Windows XP, thì đây thực sự là lỗi của thành phần xử lý định dạng TIFF trong sản phẩm Microsoft Office", Haifei Li đã viết trên trang web của McAfee. "Vì vậy, không chỉ Office 2007 chạy trên Windows XP, mà nhiều môi trường khác cũng tồn tại lỗ hổng này, bao gồm Office 2007 chạy trên Windows 7."

Microsoft đã cố gắng làm rõ tình hình trên trang blog Phòng chống và Nghiên cứu bảo mật, nhưng không liệt kê tất cả hệ thống Windows và Office chịu ảnh hưởng. Theo bản chi tiết được nêu ra bởi Elia Florio (kỹ sư của MSRC), bất cứ ai sử dụng Office 2003 hoặc 2007, không liên quan đến hệ điều hành, đều bị ảnh hưởng, trong khi chỉ có người dùng sử dụng Office 2010 trên Windows XP hoặc Server 2003 có nguy cơ bị khai thác.

Office 2013, phiên bản mới nhất của Microsoft, không tồn tại lỗ hổng, Florio phát biểu.

Trong một email nhận được từ một phát ngôn viên của công ty, Microsoft thiết lập một bản ghi, ghi nhận các trường hợp tồn tại lỗ hổng là: Office 2003 và Office 2007 chạy trên tất cả các nền tảng, chỉ Office 2010 trên XP và Server 2003, và tất cả các phiên bản hỗ trợ của Lync.

Childs nói rằng Microsoft đang cập nhật bản vá, nhưng không đề cập đến thời gian đưa ra bản và này.

Andrew Storms, giám đốc DevOps tại CloudPassage ở San Francisco, nghĩ rằng khó các khả năng Microsoft sẽ đưa một cái gì đó đến tay  khách hàng kịp thời vào tuần tới; bản vá Microsoft Patch Tuesday tháng này dự kiến ​​sẽ ra ngày 12 tháng 11.

"Tôi không mong chờ bản vá trên Patch Tuesday", Storms nói trong một cuộc phỏng vấn hôm nay. "Nếu đó là IE (Internet Explorer), thì có thể. Và tôi không nghĩ rằng họ đang sử dụng mọi khả năng, sau những vấn đề với một số cập nhật gần đây. Họ sẽ thực hiện rất thận trọng đối với điều này, trừ khi hệ thống theo dõi từ xa của họ cho thấy các cuộc tấn công đang thực sự lây lan. "

Storms đã đề cập đến một số bản cập nhật từ tháng Tư, bao gồm cả những bản cho Windows 7, phần mềm máy chủ email Exchange và Office, mà Microsoft đã phải thu hồi và xử lý lại sau khi đưa ra bản vá gây họa cho người dùng. Một số chuyên gia bảo mật, bao gồm Storms, đã tự hỏi liệu Microsoft đã mất đi sự chặt chẽ trong việc kiểm soát chất lượng.

Hôm nay, Microsoft đã khuyến cáo khách hàng để áp dụng một số biện pháp tạm thời cho đến khi có bản vá thực sự, và đưa lên các đường dẫn đến "Fixit" trên tài liệu hỗ trợ.

Bởi Gregg Keizer