Lỗ hổng nghiêm trọng mới đe dọa IE

Lần thứ hai trong vòng một tuần, các hacker đã phát hiện thấy một lỗ hổng mới trong trình duyệt IE của Microsoft, có thể bị khai thác để chạy các phần mềm trái phép trên máy tính Windows.

Nguồn: Security

Lỗ hổng mới nhất được công bố hôm 29/4, cho phép kẻ tấn công giành quyền kiểm soát hệ thống Windows và đã được Website bảo mật FrSIRT xếp vào hạng "Nguy cơ cao" (High Risk).

Mặc dù đoạn mã "proof-of -concept" chỉ rõ cách khai thác lỗ hổng này đã được công bố, khiến cho lỗ hổng càng trở nên nguy hiểm hơn, song không phải là không có những yếu tố "hạ nhiệt". Trước nhất, kẻ tấn công cần phải lừa được người dùng ghé thăm một trang Web giả mạo rồi sau đó, yêu cầu họ thực hiện một số công việc nhất định, chẳng hạn như viết một đoạn text vào trong Box v...v trước khi có thể kích hoạt được phần mềm hiểm độc.

Ngoài ra, tin vui khác là lỗ hổng này không ảnh hưởng đến các phiên bản Windows mới nhất và Windows Servers 2003.

Chưa có miếng vá

Vì những hạn chế này, Microsoft đã quyết định không phát hành miếng vá lỗi khẩn cấp.

"Lỗ hổng không thể bị lợi dụng nếu như người dùng không thao tác một loạt hoạt động khác nhau. Đây là việc không thường gặp khi duyệt Web. Chính vì vậy, chúng tôi quyết định rằng vấn đề sẽ được giải quyết bằng một Service Pack thay vì một bản vá lỗi cập nhật hàng tháng", Microsoft cho biết.

Nếu không muốn chờ đợi Service Pack kế tiếp phát hành, người dùng có thể tránh được nguy cơ bằng cách thay đổi phần cài đặt bảo mật của IE. Tuy nhiên, nó có thể sẽ ngăn không cho IE hiển thị đúng những website dựa trên ActiveX.

IE vẫn tiếp tục là mục tiêu tấn công chủ yếu của giới hacker, với việc Microsoft phải phát hành hơn một chục miếng vá lỗi trong bản cập nhật bảo mật mới nhất hôm 11/4 vừa qua. Chủ nhật tuần trước, chuyên gia Michael Zalewski đã công bố thông tin chi tiết về một lỗ hổng nghiêm trọng tương tự trong IE. Hãng bảo mật Secunia đã đánh giá lỗ hổng này là "highly critical".

Thiên Ý