Tấn công vào IE thông qua Google Desktop Search

Một chuyên gia bảo mật Israel tên Matan Gillon vừa phát hiện ra phương pháp ăn cắp thông tin bằng công cụ Google Desktop Search thông qua một lỗi bảo mật chưa được vá nằm trong trình duyệt Internet Explorer.

Lỗi bảo mật này nằm trong cách thức Internet Explorer quản lý phương thức hoạt động CSS (Cascading Style Sheets). CSS là cách thức sắp xếp các trang web chồng lên nhau khi mở ra nhiều trang web trong trình duyệt.

Matan Gillon cho biết rằng lỗ hổng bảo mật này của Internet Explorer cho phép kẻ tấn công ăn cắp được các thông tin các nhân của người dùng cũng như có thể tung mã độc vào hệ thống. Điều đặc biệt ở đây là công cụ Google Desktop vốn dĩ hết sức thân thiện với Internet Explorer lại trở thành công cụ có khả năng khai thác lỗi bảo mật này.

Với những hacker “khéo tay” thì chỉ cần tiếp cận sơ sơ với những máy tính Windows có cài Google Desktop là họ có thể lấy ra được một số password đáng kể từ máy tính nạn nhân. Ngoài ra lỗi bảo mật này cũng tạo điều kiện cho hacker lừa người dùng chui vào các trang web độc để chiếm đoạt hệ thống.

Microsoft hiện đang tích cực điều tra về việc kết hợp kỳ lạ này và cũng công nhận rằng lỗi bảo mật này đã ảnh hưởng đến khá nhiều trang web riêng biệt, nhất là những trang web đòi hỏi người dùng nhập vào username, password. Microsoft hiện cũng chưa xác định chắc chắn rằng lỗi bảo mật này có thể bị lợi dụng để tung mã độc vào hệ thống hay không nhưng một số chuyên gia đã khẳng định rằng điều này là hoàn toàn có thể.

Sonya Boralv, nữ phát ngôn viên của Google cho biết rằng Google hiện cũng đang tích cực điều tra về vần đề này.

Chuyên gia bảo mật Tom Ferris nhận định rằng lỗi bảo mật này cũng giống như một số lỗi bảo mật khác nằm trong Internet Explorer nhưng Gillon tài tình ở chỗ đã có khả năng phát hiện ra cách thức dùng Google Desktop để ăn cắp các file dữ liệu.

Gillon cho biết rằng lỗi bảo mật này hoàn toàn không tồn tại trong các trình duyệt như Firefox và Opera. Gillon khuyên người dùng nên chuyển sang sử dụng trình duyệt khác hoặc tắt đi tính năng JavaScript trong Internet Explorer thì có thể khắc phục được lỗi bảo mật nói trên.