Microsoft đang tiến hành điều tra lỗ hổng chưa được vá trên VBScript. Lỗ hổng này cho phép tin tặc có thể khai thác và triển khai mã độc trên các thiết bị cài đặt hệ điều hành Windows XP, chạy trình duyệt IE.
Theo Maurycy Prodeus, nhà phân tích bảo mật Ba Lan, lỗ hổng này có thể được kẻ tấn công sử dụng để đưa đoạn mã độc vào máy tính của nạn nhân. Ông đã phát hiện ra lỗ hổng và đăng đoạn mã tấn công này. Prodeus cho biết, tất cả các máy tính sử dụng trình duyệt IE7 hay phiên bản mới IE8 đều có nguy cơ bị kẻ xấu tấn công.
Còn theo Jerry Bryant, nhà quản lý cao cấp của Trung tâm MSRC, Microsoft sẽ điều tra công khai lỗ hổng trên các tệp tin VBScript và Windows Help trong trình duyệt IE.
Theo Microsoft, các phiên bản Windows Vista, Windows 7, Windows Server 2008 và Windows Server 2008 R2 không bị ảnh hưởng bởi lỗi này, chỉ có những máy tính cài hệ điều hành Windows XP bị lỗi.
Bryant cho biết thêm, Microsoft chưa nhận thấy có dấu hiệu nào chứng tỏ đã có cuộc tấn công khai thác lỗ hổng trên. Prodeus đã gọi chúng là “lỗ hổng logic” và cho biết, kẻ tấn công có thể khai thác chúng, đưa những mã độc được ngụy trang như một tệp tin hỗ trợ của Windows (các tệp tin “.hlp” mở rộng), rồi thuyết phục người dùng nhấn phím F1 khi có một cửa sổ pop-up xuất hiện.
Ông đã đánh giá đây là lỗ hổng loại trung bình vì chúng yêu cầu người dùng phải tác động vào. Prodeus cho biết, đầu tiên kẻ tấn công cần buộc nạn nhân ghé thăm một trang web chứa mã độc. Nhưng nạn nhân này phải sử dụng máy tính cài Windows XP và trình duyệt IE. Sau đó, nạn nhân phải ấn phím F1 khi pop-up VBScript xuất hiện.
Còn nhà nghiên cứu bảo mật Cesar Cerrudo lại đánh giá mức độ nghiêm trọng của lỗ hổng này cao hơn đánh giá của Prodeus. Mức độ cao ở đây là buộc người dùng ấn phím F1 khi được yêu cầu. Tin tặc có thể quấy rầy người dùng với hàng trăm tin nhắn nói rằng, người dùng cần ấn phím F1 để tiếp tục. Theo Cerrudo, cuộc tấn công của Prodeus theo lỗ hổng này đã thành công vì đã lạm dụng chức năng của 'MsgBox()' VBScript.
Mặc khác, Bryant chưa đưa thời gian để hãng sửa lỗi này và rất có thể chúng sẽ được thực hiện theo đúng lịch trình phát hành bản vá hàng tháng của Microsoft vào ngày 9/3 tới.
Lại một lỗ hổng mới của IE được điều tra khẩn cấp
397
Bạn nên đọc
-
Age of Empires Mobile chốt thời điểm ra mắt chính thức trên iOS và Android
-
Sử dụng ống kính tele
-
OpenDNS là gì, những ưu điểm, nhược điểm của OpenDNS
-
Microsoft ngừng hỗ trợ DRM cũ trên Windows Media Player, Windows 7/8, Silverlight
-
Crucial ra mắt mẫu SSD Gen4 NVMe mới giúp Windows khởi động nhanh hơn Samsung, WD
-
5 cách khởi chạy nhanh chương trình trên Windows
0 Bình luận
Sắp xếp theo
Xóa Đăng nhập để Gửi
Cũ vẫn chất
-
Cách thay đổi hệ thống ngôn ngữ trong Windows 10
Hôm qua 1 -
Bài kiểm tra trắc nghiệm về Python - Phần 1
Hôm qua -
Code Pet Simulator X 2022 mới nhất và cách nhập code
Hôm qua -
Các toán tử so sánh trong SQL Server
Hôm qua -
Chuyển từ cơ số 10 sang cơ số 16
Hôm qua -
Những câu nói có thể làm thay đổi cuộc đời bạn
Hôm qua -
Build đội hình mạnh nhất Honkai Star Rail hiện tại
Hôm qua -
Ngắm Downtown Circle - 'thành phố tròn' trên cao có chu vi 3.000m bao quanh tháp Burj Khalifa
Hôm qua -
NFT là gì và tại sao NFT lại đắt đến vậy?
Hôm qua -
Tình yêu là gì? 26 định nghĩa tình yêu chuẩn nhất
Hôm qua 12