Thêm hai lỗi bảo mật IE được phát hiện

Ngày hôm qua (28/6), các chuyên gia bảo mật đã cảnh báo người dùng về hai lỗi bảo mật chưa được khắc phục trong trình duyệt Internet Explorer của Microsoft.

Đặc biêt, các chuyên gia cho biết, người dùng có thể đang phải đứng trước nguy cơ bị tấn công khi mà những đoạn mã được chứng minh là có khả năng khai thác các lỗi bảo mật nói trên đã được phát tán trên mạng.

Thông tin về hai lỗi bảo mật mới vừa được tiết lộ được đăng tải đầy đủ trên danh sách email bảo mật Full Disclosure. Những thông tin đó có được là nhờ vào những bản tin cảnh báo mới nhất của Internet Storm Center trực thuộc SANS Institute và hãng bảo mật Symantec.

Thông tin cho biết một lỗi bảo mật có thể cho phép tin tặc thực thi các đoạn mã độc hại từ xa nếu chúng thành công trong việc lừa người sử dụng nhắp chuột vào một tệp tin đính kèm trong một trang web nguy hiểm.

Internet Storm Center cảnh báo đoạn mã có khả năng khai thác lỗi bảo mật này đã được phát tán trên mạng nhưng cũng cho biết là việc khai thác là tương đối khó vì nó yêu cầu cần phải có sự tương tác của người sử dụng. Trung tâm nghiên cứu khuyến cáo người sử dụng nên vô hiệu hoá khả năng cho phép vận hành kịch bản động (active script) trong IE.

Lỗi bảo mật thứ hai liên quan đến việc IE thất bại trong việc thực thi chính sách liên tên miền (cross-domain), hãng bảo mật Symantec cho biết. Trước đó, IE đã là nạn nhân của rất nhiều vụ tấn công lợi dụng lỗi bảo mật liên tên miền. Lỗi bảo mật này có thể bị lợi dụng để ăn cắp thông tin đăng nhập, mật khẩu và các thông tin cá nhân của người dùng.

"Lỗi bảo mật này có thể bị tin tặc ác ý sử dụng để thu thập những thông tin từ các trang web có yêu cầu người dùng cần đăng nhập tài khoản để sử dụng," Internet Storm Center cảnh báo. "Nhưng lỗi bảo mật này rất ít được chú ý đến do nó không phải là một vấn đề thực sự nghiêm trọng. Vấn đề này chỉ được đánh giá ở mức độ nguy hiểm thấp."

Hãng bảo mật Secunia đều xếp hai lỗi bảo mật này vào mức "kém nghiêm trọng" và đưa ra thử nghiệm giúp người dùng phát hiện xem trình duyệt của họ có bị mắc lỗi bảo mật liên tên miền hay không.

Secunia cũng khẳng định IE 7 Beta 2 không mắc lỗi bảo mật liên tên miền. Điều này là dễ hiểu vì Microsoft cho biết họ đã viết lại mã lập trình trong IE 7.

Hoàng Dũng