Những lỗ hổng mới trong Internet Explorer

Người sử dụng trình duyệt web của Microsoft lại một lần nữa đứng trước nguy cơ bị tấn công từ những loại mã phá hoại của hacker. Hãng phần mềm an ninh Symantec vừa xác định một số lỗ hổng mới trong hai phiên bản 5.5 và 6.0 của công cụ rất phổ thông này. Trong số đó có một khiếm khuyết mà mã khai thác đã bị phổ biến. Tin tặc có thể lừa khách hàng tới những website “bẫy”, nơi có các tệp lệnh script Visual Basic dẫn tới một file nhúng (embeded) giống như vùng ký tự trên trang web. Nhờ đó, chúng có thể giành quyền khống chế toàn bộ hệ thống của nạn nhân và tung ra các loại mã riêng tùy thích. Những loại mã này thường thuộc dạng Trojan, cho phép hacker thực hiện các cuộc tấn công về sau trên những máy khác. Alfred Huger, chuyên gia của Symantec, cho rằng đây là những lỗ hổng khá nghiêm trọng. Rất nhiều con đường khai thác đã xuất hiện từ những khiếm khuyết này, hoặc nếu chưa có thì việc tạo ra đường tấn công cũng chỉ còn là một nhiệm vụ đơn giản. Mặc dù Microsoft gần đây phát hành một số bản vá lỗi cho Internet Explorer, hãng phần mềm vẫn không khắc phục hết những thiếu sót mà Symantec vừa tìm ra. Giới phân tích an ninh gọi nguy cơ kiểu này là những khiếm khuyết “zero-day”, một thuật ngữ chỉ các mối đe doạ có tính nguy hiểm cao khi mà công cụ khắc phục hoàn toàn chưa được cung cấp. Theo Huger, cách phòng vệ trước mắt dành cho Internet Explorer là tắt những tính năng như Java và các tệp lệnh script, đồng thời ngăn không cho tính năng ActiveX control hoạt động khi trình duyệt web gặp chúng ở một website nào đó (tất nhiên điều này có thể làm cho công cụ duyệt web trở nên khó sử dụng hơn đôi chút).