Sai sót trong bảo mật khoét sâu thêm lỗ hổng IE

Hôm qua, một chuyên gia an ninh thông báo việc nâng cấp tính năng bảo mật trong IE 6.0 của Microsoft có thể trở thành vô nghĩa do một lỗi an ninh tồn tại từ lâu trong Windows Media Player (WMP).

Nhà khổng lồ phần mềm đã tăng cường các tính năng bảo mật trong trình duyệt mới, bao gồm cả việc hỗ trợ chuẩn P3P (Platform for Privacy Preferences). Chuẩn này nhằm mang lại cho người duyệt web nhiều quyền kiểm soát hơn đối với cookie.

Richard Smith, nhà cố vấn an ninh cảnh báo rằng những con số ID mặc định dành riêng cho mỗi người sử dụng WMP có thể giúp hacker vượt qua mọi biện pháp bảo mật. Lỗi an ninh này cho phép một website tạo ra "siêu cookie" có khả năng truy tìm những người sử dụng bất cứ phiên bản nào của Internet Explorer và Netscape Navigator, cho dù họ có đặt các chế độ bảo mật.

Ông Smith giải thích: "Chỉ với một mã JavaScript đơn giản, một website có thể nắm được số ID của chương trình Windows Media Player thuộc một người truy cập bất kỳ. Con số ID này sẽ được sử dụng như một cookie để theo dõi mọi hành động của người đó trên web".

Microsoft cho biết đã cho ra bản nâng cấp WMP vào năm ngoái, nhưng ông Smith nhận xét rằng giải pháp đó chưa đủ hiệu quả để bảo vệ người sử dụng.

Minh Thi (theo CNET, Newsbytes)