IE vẫn bỏ ngỏ cửa cho tin tặc

MOD

Trình duyệt IE của Microsoft có thể vô tình cho phép tin tặc đọc các tệp tin trên máy tính của người dùng. Đây là một vấn đề khác đối với Microsoft chỉ vài ngày sau khi hãng phát hành bản vá lỗi khẩn cấp để bít lỗ hổng nghiêm trọng trên trình duyệt.

Theo Jorge Luis Alvarez Medina, cố vấn an ninh của hãng Core Security Technologies, thực tế vấn đề này đã được phát hiện ra cách đây 2 năm nhưng vẫn tồn tại cho dù Microsoft đã hai lần cố gắng sửa chúng. Ông đã lên lịch để đưa vấn đề này vào buổi thuyết trình tại hội nghị bảo mật Black Hat vào ngày 3/2 tới tại Washington DC.

Vấn đề này có thể cho phép một tin tặc đọc các tệp tin trên máy tính của người dùng mà không phải cài đặt đoạn mã khác. Medina cho biết, điều này sẽ thể hiện một vấn đề an ninh nghiêm trọng. Chúng ảnh hưởng tới tất cả các hệ điều hành của Microsoft từ Windows NT tới Windows 7 và mỗi phiên bản IE, bao gồm cả phiên bản mới nhất IE 8.

Với cách thức như sau: kẻ tấn công dụ nạn nhân kích vào một đường dẫn URL độc hại. Sau đó, thao tác 4 hay 5 tính năng trong IE, tin tặc buộc trình duyệt xử lý các tệp tin mà không phải đơn thuần là HTML trên máy tính, Medina cho biết.

Microsoft đã có những thông báo quan trọng về các vụ tấn công vào năm 2008 và đã giới thiệu hai phiên bản thay đổi trình duyệt và bản mô tả sửa lỗi của năm 2009 đăng trên website của hãng cũng thấy sửa cả lỗi của năm 2008.

Dù đã sửa lỗi, Medina vẫn phát hiện thấy các cách để thực hiện các cuộc tấn công tương tự. Từ đó, vấn đề này liên quan đến tính năng nhiều hơn là các lỗ hổng nên sẽ khó khăn hơn để Microsoft có thể sửa lỗi vĩnh viễn. Theo Medina, một số tính năng đó thuộc loại không thể sửa. Theo kế hoạch, Microsoft sẽ phát hành các bản vá lỗi tiếp theo vào ngày 9/2.

Hôm qua (26/1), Microsoft cho biết, hãng đang điều tra vụ việc trên. Hiện hãng chưa nhận thấy có bất cứ cuộc tấn công nào đang cố gắng sử dụng lỗ hổng đó hay có tác động đến khách hàng.

Vấn đề này thể hiện nhiều điều đáng buồn cho IE, Microsoft đã phải phát hành bản vá lỗi khẩn cấp vào hôm thứ 5 (21/1) để sửa lỗ hổng zero-day được coi là nguyên nhân gây ra vụ Google và hơn 30 hãng khác bị tin tặc tấn công gần đây.