Microsoft vừa khuyến cáo người dùng Windows về một lỗ hổng chưa vá mới mà những kẻ tấn công có thể khai thác để ăn cắp thông tin và lừa gạt mọi người cài đặt mã độc.
Microsoft cho biết kẻ tấn động có thể lợi dụng một lỗi trong bộ mã lập trình web MHTML (MIME HTML) của Windows để chạy các file có chứa mã độc trong trình duyệt Internet Explorer (IE).
Microsoft cũng đã miêu tả kỹ hơn về mối đe dọa này. “Kẻ tấn công có thể thu thập thông tin người dùng, chẳng hạn như email, xem các nội dung hiển thị trên trình duyệt hoặc can thiệp vào quá trình truy cập Internet của người dùng”, Angela Gunn, một đại diện về bảo mật của Microsoft viết trong một blog của Trung tâm Phản ứng Bảo mật Microsoft.
MHTML là một định dạng ngôn ngữ lập trình web mở rộng từ HTML, được kết hợp nhiều nguồn định dạng khác nhau – như hình ảnh, ứng dụng Java con, Flash... Chỉ có trình duyệt IE của Microsoft và Opera của Opera Software hỗ trợ MHTML; Chrome của Google và Safari của Apple không hỗ trợ định dạng này; Firefox của Mozilla có thể hỗ trợ MHTML tuy nhiên yêu cầu phải có một phần mềm phụ để đọc và viết các file MHTML.
Tất cả các phiên bản Windows, bao gồm Windows XP, Vista, và Windows 7, đều chứa lỗi này, vì thế Microsoft có thể sẽ mất khá nhiều thời gian để có bản vá lỗi.
Nếu đây chỉ là lỗi trên IE, có thể Microsoft sẽ có bản vá vào ngày 8/2 trong sự kiện ngày phát hành các bản vá lỗi của Microsoft. Nhưng lỗi này bắt nguồn trong Windows nên chưa biết khi nào sẽ có bản vá lỗi.
Microsoft khuyến cáo người dùng nên tạm thời sử dụng công cụ “Fixit” có trên website hỗ trợ của hãng để hạn chế phần nào lỗ hổng này.