Giới bảo mật lại "tặng" thêm việc cho Microsoft khi công bố lỗ hổng nghiêm trọng mới trong trình duyệt IE - đây là lỗi IE thứ ba liên tiếp được khui ra trong tuần này.
Sở dĩ lỗ hổng lần này được đánh giá "Nghiêm trọng" (Critical) là vì nó cho phép kẻ tấn công giành lấy quyền kiểm soát máy tính của nạn nhân. Sự cố xảy ra trong cách IE xử lý thông tin bằng phương pháp createTextRange. Theo Computer Terrorism thì bằng cách chèn mã hiểm vào trong trình duyệt, hacker có thể phá sập bộ nhớ hệ thống và lừa mày tính khởi động các phần mềm phá hoại.
Computer Terrorism không công bố đoạn mã mẫu cho thấy lỗ hổng này có thể bị lợi dụng như thế nào mà khẳng định đây là một lỗi "lý thuyết" đáng tin cậy. Hai phiên bản IE6 và IE 7 beta 2 chạy trên nền hệ điều hành Windows XP đều có thể bị ảnh hưởng.
Theo hãng bảo mật Secunia thì Microsoft đang tích cực nghiên cứu miếng vá cho lỗ hổng. Bản thân Secunia thì đánh giá lỗ hổng này là "Cực kỳ nghiêm trọng" (Highly critical).
Trong tuần qua, Microsoft đã liên tiếp nhận được cảnh báo về hai lỗ hổng IE và dự kiến, trong bản tin bảo mật phát hành ngày 11/4 tới sẽ có miếng vá dành cho hai lỗ hổng này. Lỗ hổng đầu tiên được phát hiện hôm thứ năm tuần trước ít nguy hiểm hơn, song có thể gây treo, sập IE. Trong khi đó lỗ hổng thứ hai thuộc vào loại "nghiêm trọng" vì nó cho phép hacker giành quyền kiểm soát hệ thống.
Có vẻ như lỗ hổng mới nhất cũng là lỗ hổng nghiêm trọng nhất trong cả ba, do nó có thể bị lợi dụng một cách dễ dàng, không chút khó khăn. Giới phân tích e ngại rằng hacker sẽ sớm tìm được cách khai thác lỗ hổng này từ những thông tin đã được công bố về createTextRange.
Hôm qua, Microsoft đã xác nhận việc hãng này đang xây dựng bản cập nhật bảo mật cho IE. "Phần mềm này đang trong quá trình kiểm nghiệm và sẽ có thể phát hành ngay trong tháng 4 tới". Tuy nhiên, ngày tháng cụ thể thì vẫn chưa được tiết lộ.
Thiên Ý (Theo PC World)