Bản vá lỗi cho Internet Explorer vô tác dụng

Theo các chuyên gia an ninh của Công ty eEye Digital Security, chương trình nâng cấp mà Microsoft tung ra nhằm khắc phục một khiếm khuyết nghiêm trọng trong công cụ duyệt web của mình đã không lấp được lỗ hổng an ninh mà tin tặc có thể khai thác.

Lỗ hổng dạng “object type” này được eEye Digital Security phát hiện 4 tháng trước đây. Bản vá lỗi được tung ra ngày 20/8 và sau đó được phát hành lại vào 28/8, vì trong một số trường hợp nó đã gây trục trặc cho những cài đặt phi mặc định trên hệ điều hành.

Khuyết điểm nói trên có thể bị tin tặc khai thác bằng cách cài một file HTML và khi người sử dụng dùng đến Internet Explorer (IE), chúng có thể truy xuất và tung ra mã phá hoại. Đại diện của Microsoft cho biết đang điều tra báo cáo của eEye. Tuy nhiên, họ khẳng định rằng tới nay chưa nhận được thông báo nào của khách hàng bị tấn công qua lỗ hổng an ninh mà eEye cho rằng chưa được vá. Công ty phần mềm hiện tiếp tục phát hành bản vá lỗi gốc và khuyến cáo những ai sử dụng IE chưa nâng cấp nên khẩn trương cài đặt.

Theo Marc Maiffret, Giám đốc phụ trách các vấn đề hacking của eEye, khiếm khuyết này đặc biệt nguy hiểm bởi vì tin tặc không cần nỗ lực nhiều cũng có thể tận dụng được, kể cả những kẻ không biết viết các chương trình khai thác tình trạng tràn bộ đệm.

Maiffret chỉ trích Microsoft quá chậm trễ (gần 4 tháng) trong việc xử lý một vấn đề mà theo ông là khá đơn giản. Nguyên nhân thứ nhất của việc này, theo Maiffret, là sự thiếu hụt đội ngũ kỹ sư an ninh trình độ cao của Microsoft khiến họ phải sử dụng cả các chuyên gia mã an ninh bên ngoài nhưng vẫn không đủ.

eEye cho rằng trước mắt, những khách hàng cẩn thận vẫn nên tắt các tính năng scripting trong công cụ duyệt web của mình để giảm bớt rủi ro có thể xảy ra từ lỗ hổng an ninh này và chờ đợi bản vá lỗi mới của Microsoft.

Phan Khương (theo CNet)