Các trang blog bằng tiếng Trung đang công khai một lỗ hổng zero-day bên trong Microsoft Works - gói phần mềm văn phòng bình dân, sơ cấp của gã khổng lồ phần mềm Microsoft.

Nguồn: CNET

Tuy nhiên, muốn khai thác được lỗ hổng zero-day này, hacker cần lừa cho người dùng ghé thăm một website độc, có chèn mã phá hoại.

Zero-day là thuật ngữ dùng để chỉ những lỗ hổng phần mềm bị phanh phui trước cộng đồng trước khi hãng phần mềm hoặc giới bảo mật kịp tung ra miếng vá.

Đây là những lỗ hổng đặc biệt nguy hiểm bởi hacker có thể dễ dàng lợi dụng chúng, còn người dùng thì hoàn toàn không được trang bị "vũ khí và công cụ" để tự bảo vệ mình.

"Đoạn mã lý thuyết để khai thác lỗ hổng đã được post lên trang blog. Nó có thể khiến cho hệ điều hành Windows bị treo cứng.

Vài giờ sau, một đoạn mã khác xuất hiện, cho phép hacker chạy mã độc trên máy tính nạn nhân", chuyên gia Michael Beets của McAfee cho biết.

Đặc biệt nguy hiểm

ActiveX là công nghệ cho phép các nhà thiết kế website bổ sung thêm tính năng cho trang web hoặc cho phép các ứng dụng khác nhau cùng truy cập vào một lõi phần mềm.

Tuy nhiên, ActiveX cũng là bộ phận bị hacker khai thác rất đắc lực bởi nó tiềm ẩn khá nhiều lỗi và lỗ hổng.

"Tất nhiên, người dùng sẽ nhận được thông báo có đồng ý download đoạn mã hay không. Mặc dù vậy, với trình độ tinh vi của hacker hiện nay, những lỗ hổng này vẫn cực dễ khai thác", Beets nhận định.

Trong khi chờ đợi Micrsoft khắc phục sự cố, người dùng có thể sử dụng tạm giải pháp tình thế là chặn một số tính năng điều khiển cụ thể của ActiveX.

Chỉ dẫn chi tiết cho quy trình này đã được McAfee và Microsoft công bố trên website của hãng.

Tuy nhiên, đại diện Microsoft không tiết lộ việc hãng có phát hành miếng vá riêng cho lỗ hổng này hay không, và nếu có thì là bao giờ.

Trọng Cầm (Theo PCWorld)