Internet Explorer lại xuất hiện yếu điểm

Quản trị mạng - Một hacker đã đăng mã tấn công có thể được sử dụng để xâm nhập vào một máy tính đang vận hành các phiên bản cũ của ứng dụng trình duyệt Internet Explorer của Microsoft.

Mã tấn công này được một hacker không rõ tên tuổi đăng lên Bugtraq Mailing List vào hôm thứ 6 vừa qua. Theo công ty cung cấp giải pháp bảo mật Symantec, mã tấn công này không phải lúc nào cũng làm việc tuy nhiên nó có thể được sử dụng để cài đặt phần mềm trái phép vào máy tính của nạn nhân.

Trong bài viết đăng trên trang Web của công ty, Symantec cho biết “Symantec đã tiến hành nhiều cuộc kiểm tra và xác nhận rằng đoạn mã tấn công này có tác động tới phiên bản Internet Explorer 6 và 7. Chúng tôi cho rằng trong thời gian tới sẽ xuất hiện mã khai thác hoàn thiện hơn.”

Công ty cố vấn bảo mật Vupen Security cũng xác nhận về khả năng có thể thực hiện tấn công, khi nói rằng mã tấn công này làm việc trên hệ thống Windows XP SP3 đang sử dụng phiên bản Internet Explorer 6 hoặc 7. Tuy nhiên chưa có thông tin nào xác nhận rằng cuộc tấn công này có thể thực hiện qua Internet Explorer 8, phiên bản trình duyệt mới nhất của Microsoft.

Symantec không cho biết mã tấn công đã được tin tặc sử dụng hay chưa, nhưng do Internet Explorer quá phổ dụng nên loại mã này sẽ được tin tặc đặc biệt quan tâm. Nếu loại mã này được sử dụng vào những cuộc tấn công trực tuyến, thì rất có thể Microsoft sẽ buộc phải phát hành một bản vá khẩn cấp trước khi tung ra bản cập nhập bảo mật định kỳ cho tháng 12, vào ngày 8/12. Cho tới thứ 7, Microsoft vẫn chưa đưa ra bất cứ bình luận nào về vụ việc này.

Hiện IE6 và IE7 chiếm khoảng 40% thị phần của thị trường trình duyệt.

Lỗ hổng này xuất hiện khi Internet Explorer truy lục một số đối tượng Cascading Style Sheet (CSS) được sử dụng để tạo một bố cục chuẩn hóa trên các trang Web. Symantec cho biết để mã tấn công có thể hoạt động, tin tặc sẽ phải lừa nạn nhân truy cập vào một trang Web chứa tập lệnh JavaScript độc. Đây là phương pháp mà tin tặc thường sử dụng để cài phần mềm độc vào máy tính trong những năm gần đây.

Symantec đề xuất rằng “Để giảm thiểu nguy cơ bị tấn công, người dùng Internet Explorer cần đảm bảo rằng các chương trình diệt virus luôn được cập nhật, tắt bỏ JavaScript và chỉ truy cập vào những trang tin cậy cho tới khi Microsoft vá lỗ hổng này.”