Phát hiện thêm lỗ hổng trong trình duyệt Microsoft IE
Các Website khác - 29/09/2005
Các chuyên gia bảo mật cảnh báo, một lỗ hổng mới của trình duyệt Internet Explorer có thể bị khai thác để thực hiện các cuộc tấn công, đánh lừa hoặc truy cập vào và thay đổi dữ liệu trong máy tính PC.

Theo nhà nghiên cứu bảo mật Amit Klein, lỗi này nằm trong cách thức Microsoft áp dụng bộ mã JavaScript trong trình duyệt. IE không kiểm tra chính xác một số dữ liệu gửi đến từ máy PC khi nhận mã lệnh yêu cầu XML HTTP.

Lỗ hổng có thể bị khai thác với một đoạn mã lập ra đặc biệt. Một tin tặc có thể đánh lừa một trang Web hợp pháp, truy cập dữ liệu ghi nhớ lại từ trình duyệt Web hoặc tại tình trạng gọi là “người đang bị tấn công”, cho phép dò lén lút các luồng thông tin giữa người sử dụng và một trang Web khác.

Theo công ty giám sát bảo mật Secunia, một máy tính cập nhật đầy đủ bản sửa lỗi chạy hệ điều hành Windows XP SP2 và trình duyệt IE 6.0 đều vẫn bị lỗi này.

Secunia đã đánh giá lỗ hổng này là mức nguy hiểm trung bình, nhưng cho biết người sử dụng có thể tránh được nguy cơ tấn công khi đặt mức bảo mật của IE ở mức cao (“high”).

Theo đại diện Microsoft, công ty đang điều tra bản báo cáo lỗ hổng và công ty phần mềm vẫn chưa phát hiện cuộc tấn công nào sử dụng lỗi này, và có thể sắp tới sẽ cung cấp bản cập nhật hoặc sửa lỗi khẩn cấp.

Microsoft không hài lòng về việc lỗ hổng bị tiết lộ. Công ty thúc giục các nhà nghiên cứu bảo mật báo cáo cá nhân các lỗi sản phẩm để họ cung cấp bản sửa lỗi. Theo đại diện Microsoft, sự tiết lộ công khai có thể dẫn tới nguy cơ cho người sử dụng máy tính.

Trong tuần trước, một số nhà nghiên cứu bảo mật đã phát hiện các lỗ hổng trong IE, một chương trình nằm trong hệ điều hành Windows. Một số khả năng dễ bị phá hoại có thể cho phép tin tặc kiểm soát máy tính PC. Microsoft lúc đầu đã có kế hoạch công bố bản sửa lỗi cho Windows sớm hơn dự định trong tháng nhưng phải hoãn lại bởi chất lượng bản sửa lỗi.

Công ty Secunia đã ấn hành 86 thông báo về bảo mật trong IE, 20 trong số đó hiện nay vẫn đánh dấu chưa được sửa lỗi trong cơ sở dữ liệu của công ty.

Theo (Theo CNET)