Những khiếm khuyết vừa được phát hiện trong trình duyệt web của Microsoft có thể cho phép hacker chạy mã tấn công trên Windows, kể cả hệ điều hành này đã cài bản vá lỗi mới nhất.

Trong số lỗ hổng này, có cái đang bị khai thác để tấn công người sử dụng Windows. Một lỗi cho phép kẻ tấn công giả mạo (spoof) địa chỉ của trang web và những lỗi khác khiến Internet Explorer (IE) thao tác với các trang web của tin tặc trên Internet với rất ít sự cảnh giác và đề phòng an ninh.

Một phát ngôn viên của Microsoft đã chính thức xác nhận những khiếm khuyết này và cho biết công ty đang điều tra các vụ tấn công đã xảy ra và tìm biện pháp xử lý, trong đó có việc phát hành một bản vá lỗi “cấp cứu”.

Thông tin về 4 lỗi mới xuất hiện trên một số diễn đàn và mạng tin vài tuần gần đây. Hai lỗi trong số này - được công bố lần đầu tiên trên mạng tin an ninh BugTraq - cho phép hacker tải các nội dung phá hoại từ trang web của chúng trong khi vẫn hiển thị địa chỉ hợp pháp trên thanh công cụ. Tin tặc cũng có thể lừa người truy cập mở những đường link “ma” bên trong e-mail hoặc đường link ngay trong từng trang web.

Theo hãng an ninh Secunia, khiếm khuyết này rất giống với một lỗ hổng khác được phát hiện tháng 12/2003, cũng cho phép hacker giấu địa chỉ thực của website bằng cách chèn ký tự “%01” trước biểu tượng @ trong URL. Ở khiếm khuyết mới phát hiện, tin tặc có thể giấu địa chỉ thực của trang web đang được load bằng cách che address bằng ký tự “::/” ở một số URL trong Internet Explorer.

Thor Larholm, chuyên gia phân tích của hãng PivX Solutions, cho biết “Xét về cơ bản, lỗi mới cũng tương tự như kiểu chèn “%01” và nó nằm ở một phần liên quan trong mã của IE”.

Một lỗi khác, chưa được vá, có tên “script liên vùng”, cho phép hacker đánh lừa người dùng IE tải những nội dung phá hoại mà không cân nhắc đến các biện pháp phòng ngừa áp dụng đối với file lưu trong ổ cứng máy tính.  

Nếu kết hợp lại, khả năng giả mạo địa chỉ và lỗ hổng liên kết script nói trên có thể tạo ra một cuộc tấn công rất uy lực mà trong đó nạn nhân cứ đinh ninh là mình đang truy cập một địa chỉ đáng tin cậy như website của Microsoft (www.microsoft.com). “Việc giả mạo địa chỉ giúp hacker đảm bảo nạn nhân sẽ tải nội dung từ website của hắn còn lỗi scripting cho phép hắn thực hiện việc tương tự trên một vùng có an ninh tin cậy”, chuyên gia Larholm, nói.

Mới hôm 10/6, 2 lỗi khác của IE cũng đã được đưa ra ánh sáng và còn liên quan cả đến hai trình duyệt khác là Mozilla và Safari.

Tất cả số lỗi mới phát hiện là những dạng khác nhau trong cùng một loạt khiếm khuyết phát hiện 2 năm trước trong thiết kế của IE. Việc khắc phục những vấn đề như vậy đòi hỏi phải kiến trúc lại toàn bộ công cụ duyệt web rất phổ biến này. Đây cũng là một việc mà Microsoft có kế hoạch thực hiện trong phiên bản Windows sắp tới: Longhorn.

Hãng phần mềm và một số công ty khác đang đề xuất áp dụng một danh sách giải pháp mà họ gọi là “duyệt web an toàn”, theo đó, các doanh nghiệp được khuyến cáo nên tăng cường an ninh trong vùng Local Machine (hay My Computer). Các bước thực hiện việc này được trình bày tại website hỗ trợ của hãng.

Hãng PivX Solution thì cung cấp cho người sử dụng một công cụ miễn phí có tên Qwick-Fix, có khả năng khóa chặt Windows và chống được nhiều dạng tấn công thông thường. Tham khảo và tải ở đây.

Microsoft cho biết họ đang phối hợp với các cơ quan pháp luật để truy tố tất cả cá nhân nào sử dụng mã khai thác những lỗi trên gây thiệt hại cho máy tính của người sử dụng.