Microsoft hiện lại đang phải gấp rút tìm cách khắc phục một lỗi bảo mật “zero-day” trong Internet Explorer vừa được công bố rộng rãi có thể bị lợi dụng để tổ chức tấn công thực thi đoạn mã nguy hiểm.
Microsoft đã khẳng định hiện họ đang tiến hành điều tra thêm thông tin được công bố thông qua danh sách thư điện tử “Full-disclosure mailing list”. Theo kênh thông tin này thì những phiên bản mới nhất trình duyệt có thể bị “treo” khi truy cập vào một trang web có các thẻ OBJECT nguy hiểm ẩn náu.
Người phát ngôn của Microsoft cho biết những điều tra ban đầu cho biết lỗi bảo mật này có thể khiến cho trình duyệt bị tự động đóng lại hoặc bị treo.
“Mirosoft sẽ tiếp tục điều tra thêm những thông tin về lỗi bảo mật này nhằm đưa ra những thông tin trợ giúp cần thiết cho người sử dụng,” người phát ngôn khẳng định.
Michal Zalewski - người đã phát hiện ra và công bố lỗi bảo mật này – khẳng định cả phiên bản Internet Explorer 6 được vá lỗi đầy đủ chạy trên nền tảng Windows XP Service Pack 2 vẫn bị mắc lỗi này.
Michal cho đây là một lỗi bảo mật khó bị khai thác nhưng vẫn cảnh báo nguy cơ về các cuộc tấn công thực thi đoạn mã từ xa.
Hãng bảo mật Secunia xếp lỗi bảo mật này vào mức “cực kỳ nguy hiểm” và nhấn mạnh lỗi bảo mật này có thể bị khai thác nhằm phá huỷ bộ nhớ bằng cách lừa người sử dụng truy cập vào một trang web độc hại. “Nếu thành công trong việc khai thác lỗi bảo mật này kẻ tấn công có thể được phép thực thi các đoạn mã nhị phân,” Secunia cảnh báo.
Hãng bảo mật FrSIRT của Pháp cũng cho xếp lỗi bảo mật vào mức “nghiêm trọng” và cảnh báo lỗi bảo mật có thể bị lợi dụng để tổ chức các vụ tấn công từ xa.
“Lỗi bảo mật này phát sinh do lỗi phá huỷ bộ nhớ khi trình duyệt xử lý một đoạn mã HTNL nguy hiểm có chứa các thẻ ‘object’ cho phép kẻ tấn công ác ý từ xa chiếm toàn bộ quyền kiểm soát hệ thống mắc lỗi bằng cách lừa người sử dụng truy cập vào một trang web nguy hiểm.”
Các chuyên gia của Websense Security Labs khẳng định hiện vẫn chưa có bất kỳ đoạn mã có khả năng khai thác nào được phát tán nhưng cũng cảnh báo là lỗi phá hỏng trình duyệt thường có thể dẫn tới các vụ tấn công thực thi đoạn mã từ xa. “Hiện chúng tôi hiện đang tìm kiếm các trang web có khả năng khai thác lỗi bảo mật này.”
Microsoft đã lên tiến phê phán Zalewski vì đã cho phép công bố lỗi bảo mật này trước khi có bản vá chính thức được tung ra. Nhưng chuyên gia nghiên cứu này lại cho rằng anh hoàn toàn không có lỗi. “Tôi không hề thông báo trước cho Microsoft vì tôi muốn họ nhanh chóng khắc phục lỗi bảo mật này.”
Hoàng Dũng
Microsoft lại “sốc” vì lỗi bảo mật mới trong IE
33
Bạn nên đọc
-
Microsoft ngừng hỗ trợ DRM cũ trên Windows Media Player, Windows 7/8, Silverlight
-
OpenDNS là gì, những ưu điểm, nhược điểm của OpenDNS
-
Age of Empires Mobile chốt thời điểm ra mắt chính thức trên iOS và Android
-
Shazam kỷ niệm cột mốc bài hát thứ 100 tỷ được nhận dạng cùng nhiều kỷ lục ấn tượng khác
-
Crucial ra mắt mẫu SSD Gen4 NVMe mới giúp Windows khởi động nhanh hơn Samsung, WD
-
5 cách khởi chạy nhanh chương trình trên Windows
0 Bình luận
Sắp xếp theo
Xóa Đăng nhập để Gửi
Cũ vẫn chất
-
Top 20+ cách chụp màn hình máy tính nhanh nhất
Hôm qua 48 -
Lời chúc mừng bé chào đời hay và ý nghĩa
Hôm qua -
Hướng dẫn chèn ghi chú ở chân trang trong Word
Hôm qua -
Vài thủ thuật nhỏ khi làm việc với Excel
Hôm qua -
Top 5 máy pha cafe tự động gia đình tốt nhất
Hôm qua -
Cách sửa lỗi "Input Signal Out of Range" trên Windows
Hôm qua -
Cách tắt Bitlocker trên Windows 11
Hôm qua -
Cách truy cập Clipboard trên Android
Hôm qua -
5 cách kiểm tra lịch sử giao dịch Agribank đơn giản
Hôm qua -
Những câu nói về sự ghen tuông trong tình yêu, stt ghen trong tình yêu
Hôm qua