Lại một lỗ hổng mới của IE được điều tra khẩn cấp

Microsoft đang tiến hành điều tra lỗ hổng chưa được vá trên VBScript. Lỗ hổng này cho phép tin tặc có thể khai thác và triển khai mã độc trên các thiết bị cài đặt hệ điều hành Windows XP, chạy trình duyệt IE.

Theo Maurycy Prodeus, nhà phân tích bảo mật Ba Lan, lỗ hổng này có thể được kẻ tấn công sử dụng để đưa đoạn mã độc vào máy tính của nạn nhân. Ông đã phát hiện ra lỗ hổng và đăng đoạn mã tấn công này. Prodeus cho biết, tất cả các máy tính sử dụng trình duyệt IE7 hay phiên bản mới IE8 đều có nguy cơ bị kẻ xấu tấn công.

Còn theo Jerry Bryant, nhà quản lý cao cấp của Trung tâm MSRC, Microsoft sẽ điều tra công khai lỗ hổng trên các tệp tin VBScript và Windows Help trong trình duyệt IE.

Theo Microsoft, các phiên bản Windows Vista, Windows 7, Windows Server 2008 và Windows Server 2008 R2 không bị ảnh hưởng bởi lỗi này, chỉ có những máy tính cài hệ điều hành Windows XP bị lỗi.

Bryant cho biết thêm, Microsoft chưa nhận thấy có dấu hiệu nào chứng tỏ đã có cuộc tấn công khai thác lỗ hổng trên. Prodeus đã gọi chúng là “lỗ hổng logic” và cho biết, kẻ tấn công có thể khai thác chúng, đưa những mã độc được ngụy trang như một tệp tin hỗ trợ của Windows (các tệp tin “.hlp” mở rộng), rồi thuyết phục người dùng nhấn phím F1 khi có một cửa sổ pop-up xuất hiện.

Ông đã đánh giá đây là lỗ hổng loại trung bình vì chúng yêu cầu người dùng phải tác động vào. Prodeus cho biết, đầu tiên kẻ tấn công cần buộc nạn nhân ghé thăm một trang web chứa mã độc. Nhưng nạn nhân này phải sử dụng máy tính cài Windows XP và trình duyệt IE. Sau đó, nạn nhân phải ấn phím F1 khi pop-up VBScript xuất hiện.

Còn nhà nghiên cứu bảo mật Cesar Cerrudo lại đánh giá mức độ nghiêm trọng của lỗ hổng này cao hơn đánh giá của Prodeus. Mức độ cao ở đây là buộc người dùng ấn phím F1 khi được yêu cầu. Tin tặc có thể quấy rầy người dùng với hàng trăm tin nhắn nói rằng, người dùng cần ấn phím F1 để tiếp tục. Theo Cerrudo, cuộc tấn công của Prodeus theo lỗ hổng này đã thành công vì đã lạm dụng chức năng của 'MsgBox()' VBScript.

Mặc khác, Bryant chưa đưa thời gian để hãng sửa lỗi này và rất có thể chúng sẽ được thực hiện theo đúng lịch trình phát hành bản vá hàng tháng của Microsoft vào ngày 9/3 tới.