Một nhà phân tích bảo mật độc lập vừa cảnh báo một khiếm khuyết trong trình duỵệt Internet Explorer (IE) có thể biến tính năng kéo/thả (drag-and-drop) thành “kéo và lây nhiễm”, kể cả máy tính đã cài bản nâng cấp hệ điều hành mới nhất của Microsoft.

Thông qua lỗi nói trên, những kẻ tấn công có thể cài một chương trình riêng vào máy nạn nhân sau khi lừa được họ truy cập vào website của chúng và click vào một hình họa. Chương trình của tin tặc có thể được đặt ngay trong folder khởi động Windows startup và hoạt động khi người sử dụng mở máy tính lần tiếp theo.

Chuyên gia an ninh tự xưng là http-equiv còn đăng một ví dụ minh họa cho việc khai thác lỗi này. “Trên một trang web ‘bẫy’, tất cả những gì chúng ta thấy là 2 dòng màu đỏ và một hình ảnh. Việc kéo hình ảnh này ngang qua 2 dòng kẻ và thả nó ra chính là bạn đã thả chương trình tấn công vào folder startup. Lần tới, bạn bật máy tính lên, chương trình sẽ bắt đầu chạy”, http-equiv giải thích.

Công ty phần mềm bảo mật Secunia (Đan Mạch) cho rằng chương trình khai thác lỗi này có thể được đơn giản hóa để chỉ cần yêu cầu người sử dụng bấm chuột đúng 1 lần. Secunia đánh giá lỗi nói trên ở mức nguy hiểm hàng thứ 2 trong thang phân loại nguy cơ của họ.

Trong khi đó, Microsoft cho rằng khiếm khuyết này không đặt ra nguy cơ nghiêm trọng đối với người sử dụng bởi vì nó đòi hỏi kẻ tấn công phải lừa được nạn nhân truy cập vào một trang web và thực hiện một số hoạt động ở đó. “Vì người sử dụng phải thực hiện khá nhiều thao tác thì cuộc tấn công mới có thể xảy ra, nên chúng tôi không coi đây là một nguy cơ cao”, đại diện hãng phần mềm Mỹ phát biểu đồng thời cho biết các chuyên gia của họ đang tiếp tục tìm hiểu vấn đề này.

Giới phân tích an ninh dự báo nhiều khiếm khuyết sẽ nhanh chóng được phát hiện trong Windows XP Service Pack 2. Lỗi kéo/thả nói trên có lẽ là khiếm khuyết nghiêm trọng nhất, tính đến thời điểm này, được phát hiện ở các máy tính đã cài phiên bản nâng cấp hệ điều hành mới nhất của Microsoft.

Mặc dù vậy, bản thân chuyên gia http-equiv vẫn có những nhận xét tích cực về SP2 khi cho rằng bản nâng cấp này đã thực sự phong tỏa hiệu quả nhiều nguy cơ an ninh và những phát hiện lỗi bảo mật hiện nay cũng đã khác xa với những gì mà năm ngoái người ta ghi nhận ở hệ điều hành này.

Hiện nay, không phải tất cả mọi người đều đã có thể nâng cấp máy tính bằng SP2. Phiên bản này chính thức được phát hành hôm 18/8 và theo Microsoft, phải hết tháng 8 mới tiếp cận được tất cả người dùng Windows XP có nhu cầu áp dụng.