Microsoft điều tra lỗ hổng trong IE7 và Vista

Ngày 26/2, hãng phần mềm lớn nhất thế giới - Microsoft cho biết đang tiến hành điều tra hai lỗ hổng mới được phát hiện trong thời gian gần đây liên quan tới trình duyệt IE7 và hệ điều hành Windows Vista.

Mặc dù cả hai lỗ hổng không được đánh giá là nghiêm trọng nhưng nó lại xuất hiện trong các sản phẩm mới nhất của Microsoft: IE7 và Vista. Thời gian qua, Microsoft đã cải tiến và nâng cấp rất nhiều đối với tính năng bảo mật của cả hai sản phẩm trên. Những lỗ hổng mới nhất chứng tỏ kể cả những sản phẩm được hãng chau chuốt kỹ nhất cũng mắc lỗi bảo mật sơ đẳng. Hai lỗ hổng mới được xác định có khả năng cho phép kẻ tấn công có thể lấy trộm thông tin nhạy cảm của người dùng.

Trong thông báo ngày 25/2, Nhóm phản ứng bảo mật Pháp (FSIRT) cho biết lỗ hổng IE7 mới (IE6 cũng bị ảnh hưởng) có thể bị khai thác trong các cuộc tấn công phishing, tin tặc có thể lừa người dùng tiết lộ các thông tin nhạy cảm như số thẻ tín dụng, số thẻ an ninh xã hội... Vấn đề phát sinh do một sai sót trong khâu xử lý các sự kiện "onunload" nhất định của trình duyệt, kẻ tấn công có thể khai thác lỗ hổng này để giả mạo thanh địa chỉ của trình duyệt.

Còn lỗ hổng mới trong Vista thì liên quan tới sai sót trong một thành phần của hệ điều hành này, đó là không có khả năng xác nhận chính xác quyền người dùng. Kẻ tấn công có thể lợi dụng lỗ hổng này để truy cập vào PC người dùng để lấy thông tin trên các tệp tin được bảo vệ - cảnh báo của FSIRT cho biết. Lỗ hổng được xác nhận ảnh hưởng tới Windows Vista, XP, 2000 và Windows Server 2003.

Đại diện của Microsoft cho biết hiện hãng đang cho điều tra hai lỗ hổng trên, tuy nhiên cũng nêu ra rằng vẫn chưa có cuộc tấn công nào lợi dụng những sai sót bảo mật mới nhất trong Vista và IE7 trên. Tuỳ thuộc vào kết quả cuộc điều tra, Microsoft có thể ban hành miếng vá bảo mật trong bản tin bảo mật tháng tới.