CERT cảnh báo lỗ hổng an ninh "chết người" trong IE

Nhóm an ninh máy tính hôm qua đã ra một thông báo khẩn cấp về lỗ hổng an ninh ảnh hưởng đến phiên bản trình duyệt 5, 5.5 và 6.0. Lỗ hổng này cho phép kẻ tấn công ăn cắp thông tin và thực hiện các chương trình phá hoại trên máy tính của nạn nhân.

Ngoài file văn bản, các trang web còn chứa các dạng file khác như tranh ảnh. Trình duyệt nhận diện các file này bằng cách rà soát đuôi của nó như ".jpg", ".pdf". Những đuôi này chứa thông tin chi tiết của file.

Theo thiết kế, IE sẽ cảnh báo người sử dụng khi họ định download hoặc mở một file có thể chạy được (.exe). Nhưng nếu một trang web có chứa file phá hoại mà lại được gắn với đuôi giả mạo như ".jpg" thì IE sẽ cho file chạy mà không cần kiểm tra xem đó có thực sự là file tranh ảnh hay không.

Bởi vì các e-mail HTML có thể chứa file chương trình, nên Microsoft Outlook và Outlook Express cũng có thể trở thành nạn nhân.

CERT đang khuyến cáo người sử dụng phiên bản trình duyệt bị lỗi download miếng vá tại trang web của Microsoft.

Minh Thi (theo Newsbytes)