Các chuyên gia của hãng bảo mật Secunia vừa phát hiện một điểm yếu trong trình duyệt Internet Explorer (IE), cho phép tin tặc có thể dụ dỗ người dùng truy cập vào các website kém an toàn.

Đây không phải là lần đầu tiên một lỗ hổng kiểu trên được phát hiện. Lỗ hổng cho phép tin tặc sử dụng kỹ thuật "spoofing" (giả mạo) để đánh lừa người dùng truy cập vào các website nguy hiểm thông qua các đường siêu liên kết được thiết kế đặc biệt.

Cách thức tin tặc gắn một đường siêu liên kết vào trình duyệt để lừa người dùng được mô tả trong ví dụ sau:

<A HREF="http://[tên website tin cậy]/">
<FORM action=http://[tên website nguy hiểm]/ method=get>
<INPUT style="BORDER-RIGHT: 0pt; BORDER-TOP: 0pt; FONT-SIZE: 10pt;
BORDER-LEFT: 0pt; CURSOR: hand; COLOR: blue; BORDER-BOTTOM: 0pt;
BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline"
type=submit value=http://[tên website tin cậy]/>
</A>

Lỗ hổng cũng ảnh hưởng tới Outlook Express (OE) nếu ứng dụng này sử dụng chức năng diễn dịch HTML tương tự như của IE. Người dùng OE thường rất tin cậy vào các thông tin hiển thị trên thanh trạng thái vì tài liệu HTML được xem trong vùng "Restricted" (một chức năng bảo mật) đã tắt tính năng hỗ trợ script.

Lỗ hổng ảnh hưởng tới các ứng dụng sau:

Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6
Microsoft Outlook Express 5
Microsoft Outlook Express 5.5
Microsoft Outlook Express 6