Lỗi mIRC cho phép hacker điều khiển hệ thống

Ông James Martin, người phát hiện lỗi tràn bộ đệm trong mIRC, cho biết điểm yếu này ảnh hưởng tới các phiên bản mIRC 5.9.1 và trước đó. Nó nằm trong mã chương trình thiết lập bí danh của người dùng khi họ kết nối với một máy chủ IRC.

Điểm yếu trong chương trình hội thoại trực tuyến mIRC có thể tạo điều kiện cho kẻ tấn công từ xa chạy những chương trình nguy hiểm trên hàng triệu máy tính của người dùng và điều khiển hoàn toàn hệ thống của họ.

Martin (người Ireland) cho biết ông đã phát hiện ra cách thâm nhập vào mIRC từ tháng 12 vừa qua và đã thông báo cho các nhà quản lý. Bởi đây là điểm yếu khá nghiêm trọng nên ông đã phải giữ bí mật cho đến khi bản sửa lỗi chính thức được đưa ra.

Để thâm nhập vào lỗ hổng này, hacker phải sử dụng một máy chủ IRC đặc biệt để gửi bí danh (nickname) dài hơn 200 ký tự đến một người dùng mIRC. Để buộc một người dùng mIRC kết nối với máy chủ nguy hiểm do chính hắn chọn, các tin tặc có thể sử dụng một điểm yếu bảo mật của trình duyệt.

Bằng một liên kết đặc biệt có kèm mã HTML nguy hiểm đặt trên web hoặc trong e-mail mà người dùng sẽ nhấp chuột vào, hacker có thể buộc mIRC tự động kết nối với một máy chủ định trước. Đoạn mã phá hoại đó có thể gây ra lỗi tràn bộ nhớ, và hacker có thể thực hiện điều khiển hoàn toàn hệ thống của nạn nhân.

Hiện nay lỗ hổng này đã được khắc ở phiển mới nhất, mIRC 6.0.

Khaled Mardam-Bey, người phát triển mIRC, chưa bình luận gì về vấn đề này.

Minh Nghĩa (theo Newsbytes)