Microsoft đang cảnh báo một khiếm khuyết trong phương thức mà nhiều ứng dụng của họ xử lý hình ảnh định dạng JPEG. Lỗi có thể cho phép những kẻ tấn công giành quyền khống chế những máy tính đang chạy chương trình đó.

Theo bản tin an ninh MS04-028 của Microsoft, bất kỳ chương trình nào mang tính năng xử lý ảnh JPEG đều có nguy cơ bị khai thác. Để lợi dụng lỗ hổng này, kẻ tấn công sẽ phải lừa được người sử dụng mở một file hình ảnh được thiết kế đặc biệt. Hình ảnh đó có thể được host trên một website, cài trong e-mail, văn bản Office hoặc host trên một mạng nội bộ.

Một loạt phần mềm của Microsoft, trong đó có nhiều phiên bản Windows và bộ ứng dụng văn phòng Office, có thể bị khai thác. Thêm vào đó, những ứng dụng được thiết kế bằng công cụ phát triển Visual Studio hoặc .Net Framework và các ứng dụng của bên thứ 3 mà có trình phân tích JPEG cũng bị nguy cơ lợi dụng.

Cùng với việc phát hành bản nâng cấp để khắc phục lỗi trong các sản phẩm của mình, Microsoft còn cung cấp một công cụ để quét PC nhằm phát hiện những sản phẩm cụ thể nào được cài đặt trên máy tính có chứa trình xử lý hình ảnh JPEG bị khiếm khuyết.

Đối với hầu hết các ứng dụng liên quan, Microsoft đánh giá lỗi này vào loại “đáng kể” (important) nhưng lại xếp vào loại “nghiêm trọng” (critical) đối với các phiên bản Outlook 2002 và 2003, Internet Explorer 6 với Service Pack 1, Windows XP và Windows XP với Service Pack 1, Windows Server 2003, .Net Framework 1.0 với Service Pack 2 và .Net Framework 1.1. Trong hệ thống đánh giá nguy cơ an ninh của Microsoft, những khiếm khuyết cho phép sâu Internet phát tán mà không cần bất kỳ hành động nào từ phía người sử dụng được xếp vào loại “nghiêm trọng”. Những lỗi tương tự không dẫn đến việc phát tán sâu nhưng vẫn đặt ra khả năng thất thoát dữ liệu của người sử dụng và đe dọa tài nguyên hệ thống thì được xếp vào loại “đáng kể”.

Ngoài lỗi JPEG, trong khuôn khổ chương trình nâng cấp định kỳ hàng tháng công bố ngày hôm qua, Microsoft còn cảnh báo về một lỗ hổng trong công cụ chuyển đổi WordPerfect 5.x Converter mà họ cung cấp kèm theo Office 2000, Office XP, Office 2003 và các phiên bản gần đây của bộ Works Suite. Lỗi WordPerfect, được Microsoft đánh giá là “đáng kể”, cũng có thể cho phép hacker khống chế toàn bộ máy tính.

Tham khảo thêm thông tin và tải bản sửa lỗi JPEG tại bản tin an ninh MS04-028 và lỗi WordPerfect 5.x Converter tại MS04-027