 |
| Nguồn: CNET |
Secunia đã minh họa cho cảnh báo của mình bằng cách trình diễn một địa chỉ Web Microsoft bên trong cửa sổ pop-up, nhưng nội dung hiển thị thì lại từ Secunia.
Lỗi nằm trong cách các địa chỉ Web được hiển thị trên thanh địa chỉ của IE7, đại diện Microsoft cho biết. Hacker có thể khai thác lỗi này bằng cách lừa người dùng click vào một đường link có định dạng đặc biệt.
Cửa sổ pop-up sẽ che phần bên trái của địa chỉ web. Chỉ khi nào bạn click trực tiếp vào cửa sổ trình duyệt hoặc bên trong thanh địa chỉ, scrolling dọc theo nó thì mới đọc được hết URL. Trong trường hợp minh họa của Secunia, địa chỉ thực sự đã được tiết lộ.
Microsoft khẳng định rằng vụ tấn công sẽ không thành nếu như website hiển thị có tên trong "sổ đen" của IE7. "Trình duyệt mới này sẽ nhận dạng được ngay nguy cơ và cảnh báo cho người dùng", Microsoft trấn an, nói thêm rằng hiện hãng chưa ghi nhận được bất cứ trường hợp nào khai thác lỗ hổng trên.
IE7 là bản nâng cấp quan trọng đầu tiên dành cho trình duyệt IE trong suốt 5 năm qua. Bảo mật là ưu tiên hàng đầu và cũng là lĩnh vực được đầu tư nhiều nhất trong bản nâng cấp này, mà trọng tâm chính là tính năng chống phishing.
Secunia đánh giá lỗ hổng này là "không nghiêm trọng" lắm, nhưng nó là lỗ hổng đầu tiên thực sự nằm trong trình duyệt mới. Trước đó, người ta từng đưa tin về một lỗ hổng khác, nhưng phía Microsoft khẳng định lỗi thuộc về Outlook Express chứ không phải trình duyệt.
Microsoft cho biết sẽ tiếp tục nghiên cứu lỗ hổng thứ hai và có thể sẽ phát hành miếng vá cho nó. Ngoài ra, hãng cũng khuyến khích các hãng bảo mật "tiết lộ riêng" những trục trặc phát hiện được để có thể khắc phục trước khi công chúng biết tới rộng rãi.
Trọng Cầm (Theo CNET)
