Kết quả đầu tiên của "Tháng các lỗi ActiveX"

Dự án "Tháng các lỗi bảo mật ActiveX" chính thức được khởi động ngày hôm qua (2/5). Ngay trong ngày đầu ra mắt dự án đã cho những kết quả "đầy hứa hẹn".

Cũng giống như những dự án tương tự trước đây như "Tháng các lỗi bảo mật IE" hay "Tháng các lỗi bảo mật Apple" ... dự án lần này vẫn được đảm nhiệm bởi các chuyên gia nghiên cứu bảo mật độc lập. Mục tiêu của những dự án như thế này là muốn các hãng phát triển phần mềm cần phải chú trọng hơn nữa đến khâu bảo mật sản phẩm.

Trong ngày ra mắt dự án các chuyên gia nghiên cứu bảo mật đã cho công bố hai lỗi bảo mật ActiveX nguy hiểm trong bộ ứng dụng văn phòng nổi tiếng của Microsoft.

Lỗi thứ nhất là lỗi Office OCX PowerPoint Viewer tồn tại trong các phiên bản 3.1.03 trở về trước. Hãng bảo mật FrSIRT khuyến cáo tin tặc có thể lợi dụng lỗi này để tấn công từ chối dịch vụ hoặc bắt cóc hệ thống mắc lỗi.

"Thực chất đây là một lỗi tràn bộ nhớ đệm. Người dùng sẽ bị tấn công nếu họ truy cập vào một trang web được cấy mã độc khai thác lỗi. Nếu thành công kẻ tấn công sẽ giành được quyền thực thi mã nhị phân trên hệ thống của người dùng".

Chuyên gia Shinnai - người sáng lập nên dự án Tháng các lỗi bảo mật ActiveX - vừa tiết lộ lỗi thứ hai. Đó là lỗi trong Excel Viewer OCX. Lỗi này cũng có thể bị lợi dụng để tấn công từ chối dịch vụ hoặc bắt cóc hệ thống. Hãng bảo mật Secunia xếp lỗi này vào mức cực kỳ nguy hiểm.

Mục tiêu tiếp theo của các chuyên gia nghiên cứu bảo mật là dự án "Tháng các lỗi bảo mật Windows Vista".

Hoàng Dũng