Các chuyên gia bảo mật của hãng Secunia cho biết, đoạn mã chương trình này, được một tổ chức có tên là Computer Terrorism công bố rộng rãi ngày hôm qua, nhằm mục đích khai thác những lỗi "đặc biệt nghiêm trọng" trong các trình duyệt IE 5.5 và IE 6 chạy trên hệ điều hành Windows XP Service Pack 2 (SP2) và IE 6 chạy trên Windows 2000 SP4.
Khi một người dùng bị lừa truy cập vào một trang web nguy hiểm, việc khai thác lỗ hổng sẽ tự động được thực hiện mà không cần người dùng phải thực hiện một động tác nào.
Ông Thomas Kristensen, quan chức phụ trách công nghệ của Secunia nói: "Một kẻ tấn công có thể sử dụng việc khai thác lỗ hổng này để chạy bất kỳ đoạn mã nào mà hắn muốn trên hệ thống của người dùng".
Theo bản khuyến cáo của Viện bảo mật SANS, những lỗi bảo mật này nằm trong một thành phần Javascript của trình duyệt IE nhằm nạp các trang web vào máy tính.
Các chuyên gia bảo mật nói rằng những lỗ hổng bảo mật trong IE này đã được biết đến từ sáu tháng trước, nhưng khi đó người cho rằng nó chỉ có thể phát động những vụ tấn công từ chối dịch vụ (DOS) chứ không phải là một lỗi bị khai thác để thực thi các mã lệnh từ xa.
Do trước đây Microsof tin rằng lỗi này chỉ có thể bị khai thác bởi các vụ tấn công DOS nên hãng này đã không công bố bản vá cho lỗi này. Người dùng có thể tự tìm cách bảo vệ mình bằng cách tắt chức năng Javascript trong trình duyệt hoặc sử dụng dạng trình duyệt khác. Các chuyên gia cũng đang đặt câu hỏi là liệu Microsoft sẽ đưa ra bản vá lỗi ngay lập tức hay sẽ công bố vào bản tin bảo mật hàng tháng của hãng.
Ngày 21-11, một đại diện của Microsoft mặc dù không bình luận gì về lỗi bảo mật mới này nhưng cho biết hãng này đã xem xét các nguy cơ đối với những khách hàng sử dụng trình duyệt Internet Explorer trên các hệ điều hành Windows 2000 SP4 và Windows XP SP2.
Người đại diện này cho biết sau khi hoàn tất việc điều tra, họ sẽ có những hành động thích đáng để bảo vệ người dùng bằng cách phát hành bản vá lỗi trong bản tin bảo mật hàng tháng hoặc đưa ra chương trình vá lỗi riêng biệt.
|