Các chuyên gia bảo mật vừa phát hiện và cảnh báo về một lỗ hổng bảo mật nằm trong bộ SP2 của Windows XP. Lỗi bảo mật cho phép kẻ tấn công kích hoạt các đoạn mã lệnh trong hệ thống của người dùng bằng hình ảnh thông qua những trang web lừa đảo.

Các lỗ hổng bảo mật dạng này đã được công bố vào khoảng hơn 2 tháng trước đây (tức lỗi hình ảnh JPEG), nhưng bằng các kỹ thuật tinh vi chuyên khai thác lỗi bảo mật mới thì người dùng chỉ cần kéo, thả, copy, dán …các hình ảnh hiện diện trên trang web là có thể bị tấn công ngay.

Công ty bảo mật Secunia đã khám phá ra lỗi mới này và cho biết rằng việc lợi dụng lỗi bảo mật này đã được “tự động hóa” hoàn toàn, chỉ cần người dùng duyệt web bằng Internet Explorer là có thể tấn công ngay. Các trình duyệt và các hệ điều hành khác không bị ảnh hưởng.

Thomas Kristensen, giám đốc kỹ thuật của Secunia cho biết: ”Hiện nay đã có bằng chứng xác thực cho biết rằng lỗi bảo mật này ảnh hưởng trực tiếp đến các hệ thống chạy SP2 khi người dùng vô tình ghé vào một trang web độc nào đó”. Secunia đã xếp lỗi bảo mật này vào hạng “cực kỳ nghiêm trọng”, một điều hiếm khi xảy ra trong rất nhiều các lỗi bảo mật xuất hiện trong năm qua.

Vào cuối tháng 12-2005, nhóm bảo mật Greyhats đã cũng đã cảnh báo về các kỹ thuật mới chuyên dùng để khai thác lỗi bảo mật tương tự như lỗi ở trên. Khi khám phá ra lỗi bảo mật này, Secunia chỉ xếp nó vào hạng “rất nghiêm trọng”. Nhưng khi lỗi bảo mật này đã được một công ty bảo mật của Mỹ mang tên ShredderSub7. US-CERT thử nghiệm và xác nhận thì Secunia đã nâng tầm mức cảnh báo lên thành “cực kỳ nghiêm trọng”.

Microsoft cũng đã cảnh báo người dùng không nên sử dụng hoặc và nên tắt đi các chức năng như kéo, thả hoặc copy, dán trong IE…được xem như là giải pháp “chữa cháy” tạm thời. Mối nguy hiểm cũng có thể được giảm thiểu bằng cách thiết lập tính năng bảo mật ở mức độ cao trong Internet Explorer hay trong Windows. Nhiều công ty bảo mật đã khuyến các người dùng nên chuyển sang sử dụng trình duyệt khác ngay lập tức.

Lỗi bảo mật này được xem là điểm yếu nghiêm trọng đầu tiên xuất hiện ngay trên giao diện của SP2 mà SP2 đã từng được xem là cứu cánh tuyệt hảo của hệ điều hành lừng danh nhưng cũng đầy tai tiếng bảo mật này.

Các nhà nghiên cứu đã chỉ ra 3 lỗi chính tác động đến SP2, nhưng chỉ tiết lộ chi tiết lỗi liên quan đến Internet Explorer tức lỗi kéo – thả - chép – dán và một lỗi liên quan đến cách điều khiển các trình Active X trong khác file trợ giúp dạng HTML. Lỗi HTML Help này có thể cho phép kẻ tấn công kích hoạt các mã lệnh độc trong hệ thống.

Hiện nay chưa biết khi nào bản sửa lỗi bảo mật này ra đời.