Mạng an ninh Bugtraq và hãng bảo mật Symantec vừa cảnh báo người dùng trình duyệt của Microsoft về một lỗ hổng chưa vá mà hacker có thể lợi dụng để “tắt” những cảnh báo an ninh và tải nội dung nguy hại vào hệ thống.
Thông báo này được đưa ra sau khi khiếm khuyết được một thành viên có tên “Rafel Ivgi” đăng lên diễn đàn của Bugtraq. Lỗi này có thể ảnh hưởng Internet Explorer (IE) 6.0, kể cả phiên bản phát hành cùng Windows XP Service Pack 2. Khiếm khuyết cho phép kẻ tấn công, thông qua một văn bản web HTML được thiết kế đặc biệt, bỏ đi các thông báo chuyên dùng để nhắc người sử dụng khi có file được truyền vào máy tính.
Symantec cho biết tính năng được thiết kế để thu thập dữ liệu tham chiếu (reference) việc tải file trong IE không thể phát hiện một đối tượng HTML đặc biệt gọi là “onclick” khi nó được kết hợp với thẻ HTML BODY (có vai trò quy định điểm bắt đầu và kết thúc của phần chính trên một trang web).
Hacker có thể dùng mục “onclick” kết hợp với tính năng “createElement” để tạo ra một IFRAME hay "inline frame" (thành phần HTML cho phép các đối tượng bên ngoài được chèn vào văn bản HTML khác). Tin tặc có thể liên kết (link) IFRAME tới một trang web nguy hiểm để tải file tấn công vào máy tính nạn nhân khi nạn nhân bấm vào trang web này. Khi đó, không một cảnh báo nào được phát ra từ thanh công cụ.
Theo Symantec, hiện tại chưa có bản nâng cấp nào để khắc phục lỗ hổng này và không cần mã khai thác đặc biệt nào cũng có thể lợi dụng được khiếm khuyết. Người sử dụng IE được khuyến cáo nên cảnh giác với đường link từ những nguồn không rõ ràng để tránh bị dẫn tới các website nguy hiểm. Một cách phòng ngừa khác là cấu hình lại trình duyệt bằng cách tắt (disable) việc chạy mã script và các nội dung active. Tất nhiên làm như vậy cũng sẽ có những tác động phụ đối với chức năng của IE.
Microsoft chưa có phản ứng gì về thông tin này.