Microsoft đã cảnh báo người dùng Windows về một lỗ hổng mới chưa vá, có thể bị khai thác để ăn cắp thông tin, lừa mọi người cài đặt phần mềm độc hại. Chỉ người dùng Internet Explorer mới gặp nguy hiểm với lỗ hổng này.

Trong bản tư vấn bảo mật đưa ra hôm 28/1/2011, Microsoft đã thừa nhận lỗi trong trình xử lí giao thức MHTML (MIME HTML) của Windows. Lỗi này có thể bị những kẻ tấn công sử dụng để chạy các script độc hại trong Internet Explorer (IE).

Theo ông Andrew Storms, giám đốc các hoạt động bảo mật tại Security nCircle, đây là biến thể của lỗ hổng XSS (cross-site scripting). Các lỗi XSS có thể bị sử dụng để chèn script độc vào một trang web, sau đó có thể chiếm quyền điều khiển phiên duyệt web.

Lỗ hổng đã bị công khai tuần trước khi website WooYun.org của Trung Quốc công bố mã chứng minh khái niệm.

MHTML là giao thức trang web kết hợp nhiều tài nguyên của một số định dạng khác nhau - hình ảnh, applet Java, hình động Flash… - vào một file duy nhất. Chỉ IE và Opera (của Opera Software) hỗ trợ MHTML; Chrome và Safari (của Apple) thì không, Firefox thì có thể nhưng nó đòi hỏi add-on để đọc và ghi các file MHTML.

Ông Wolfgang Kandek, giám đốc công nghệ của Qualys chỉ ra rằng, người dùng IE có nguy cơ cao nhất. Tất cả các phiên bản Windows được hỗ trợ, bao gồm Windows XP, Vista và Windows 7, đều chứa trình xử lí giao thức “dính” lỗi. Đó là một trong những lí do khiến ông Storms tin rằng, nó sẽ làm Microsoft mất thời gian để đưa ra bản vá lỗi.

Thay cho bản vá lỗi, Microsoft khuyến cáo người dùng khóa trình xử lí giao thức MHTML bằng cách chạy công cụ "FixIt".

Theo PC World VN



Bình luận

  • TTCN (1)
Phạm Hoài Thương  124

may quá em sài chrome Big Grin