Hãng bảo mật Secunia vừa cảnh báo một lỗ hổng nghiêm trọng trong trình duyệt Internet Explorer (IE), có thể cho phép tin tặc dụ dỗ người dùng tải các file nguy hiểm về máy tính.

Lỗ hổng phát sinh do sai sót trong cơ chế lưu (save) ảnh bằng lệnh ""Save Picture As" của IE. Sai sót này có thể bị lợi dụng để các website "độc hại" gắn các mã script vào một bức ảnh giả mạo có phần mở rộng là file nhị phân.

Theo cảnh báo của Secunia, các trường hợp khai thác thành công có thể cho phép website "độc hại" lừa người dùng tải ứng dụng HTML Application (.hta) nguy hiểm nhưng lại được che giấu như một bức ảnh hợp lệ. Tuy nhiên, khả năng khai thác này chỉ có thể thực hiện được nếu lựa chọn "Hide extension for known file types" (Giấu đuôi mở rộng đối với các loại file đã biết) được kích hoạt.

Lỗ hổng được xác định ảnh hưởng tới các hệ thống cài đặt IE 6.0 và Windows XP SP2 đã được vá lỗi (patch) đầy đủ.