Microsoft xác nhận lỗi IE nghiêm trọng

Microsoft khuyến nghị sử dụng công cụ ngăn chặn tin tặc khai thác lỗ hổng để lừa đảo, nhưng chưa có kế hoạch phát hành miếng vá khẩn cấp.

Cuối ngày 22/12/2010 Microsoft xác nhận, tất cả các phiên bản Internet Explorer (IE) có chứa một lỗ hổng nghiêm trọng mà những kẻ tấn công có thể khai thác bằng cách thuyết phục người dùng truy cập một website lừa đảo.

Mặc dù công ty cho biết sẽ khắc phục vấn đề, nhưng chưa có kế hoạch đưa ra một bản cập nhật khẩn cấp.

"Vấn đề hiện tại không đáp ứng các tiêu chí cho một bản phát hành bất thường", bà Carlene Chmaj, phát ngôn viên của Trung tâm ứng cứu an ninh Microsoft (Microsoft Security Response Center - MSRC) viết trong một bài đăng trên blog. "Tuy nhiên, chúng tôi đang theo dõi về mối đe dọa này rất chặt chẽ và nếu tình hình thay đổi, chúng tôi sẽ công bố các bản cập nhật".

Lỗi nằm trong IE6, IE7, IE8 “nổi lên” vài tuần trước khi công ty bảo mật Vupen (Pháp) tiết lộ một lỗ hổng trong engine HTML của IE. Bà Chmaj cũng hạ thấp mức đe dọa do lỗi này gây ra. "Hiện tại, tác động của lỗ hổng này còn được giới hạn và chúng tôi chưa biết về bất kỳ khách hàng bị ảnh hưởng nào hoặc các cuộc tấn công hoạt động nhắm tới khách hàng".

Mã khai thác sử dụng một kỹ thuật được các nhà nghiên cứu McAfee tiết lộ hồi đầu năm nay, “đánh bại” 2 công nghệ phòng thủ quan trọng của Windows - ASLR (address space layout randomization) và DEP (data execution prevention) - được thiết kế để cản trở phần lớn các cuộc tấn công. Kỹ sư phần mềm bảo mật J. Serna của Microsoft cũng xác nhận, file "mscorie.dll" của IE không phải luôn luôn tự động kích hoạt ASLR - công nghệ cấp phát bộ nhớ thực thi một cách ngẫu nhiên khiến cho tin tặc chạy mã của chúng khó khăn hơn.

Cho đến khi có được bản vá, Microsoft khuyên người dùng nên sử dụng tiện ích Enhanced Mitigation Experience Toolkit (EMET) để tăng cường phòng thủ của IE. Công ty cung cấp hướng dẫn về cách cấu hình EMET để chặn các cuộc tấn công trong bản tư vấn bảo mật đi kèm.

Có thể tải về EMET 2.0 miễn phí tại đây.