Lỗi IE cho phép giả mạo địa chỉ web như thật

Hôm thứ ba tuần này (9/12 ),Microsoft vừa cho biết họ đang phân tích các thông báo về một lỗ hổng tiềm ẩn trong trình duyệt web Internet Exporer (IE). Lỗ hổng này cho phép các hacker ác tâm có thể thiết kế một website giả mạo y như thật để lừa người truy cập đưa ra các mã số thẻ tín dụng. Theo các cảnh báo bảo mật của một chuyên gia ''chuyên săn lỗi'' và công ty Secunia của Đan Mạch, lỗ hổng này có thể cho phép các hacker sử dụng một kỹ thuật để hiển thị một địa chỉ web ''y như thật'' trên một site giả mạo. Hãng Secunia công bố người phát hiện lỗi này là ''Zap the Dingbat'', người đã đưa một cảnh báo lên mailing list Bugtraq. Cảnh báo này có đường link dẫn tới một ví dụ nhấn mạnh khả năng giả mạo, và cho biết Microsoft đã được thông báo về lỗi nói trên. Các hacker thủ đoạn thường lừa nạn nhân đưa ra mã thẻ tín dụng và các thông tin quan trọng khác bằng cách đưa họ vào các website thương mại điện tử giả mạo, chẳng hạn như eBay. Phương thức này được đánh giá là một công cụ đắc lực trong việc ăn cắp danh tính và thẻ tín dụng của người dùng. Những người lướt web thành thạo thường phát hiện ra các thủ đoạn lừa đảo nhờ nhìn vào địa chỉ web. Nhưng với phương thức giả mạo mới được Secunia mô tả, IE có thể cho phép thanh địa chỉ giả mạo địa chỉ của trang chủ www.microsoft.com với một trang có nội dung trắng. Bằng cách mở một cửa sổ web sử dụng cách đặt tên theo kiểu http://user@domain, một kẻ tấn công có thể giấu phần địa chỉ thực phía sau bằng cách thêm một nhóm ký tự 0x01 đằng sau ký tự ''@'', Internet Explorer sẽ không hiển thị phần còn lại của URL xác định các domain khác biệt. Microsoft chưa đưa ra bảng thời hạn điều tra lỗ hổng này, nhưng cho biết có thể sẽ đưa ra một bản sửa lỗi để khắc phục. Đồng thời hãng cũng khuyến nghị mọi người nên tuân thủ các quy trình bảo mật cơ bản, gồm các firewall, các bản nâng cấp phần mềm và phần mềm diệt virus.
Thứ Sáu, 12/12/2003 01:17
31 👨 109
0 Bình luận
Sắp xếp theo