Với lỗ hổng bảo mật mới phát hiện trong phiên bản trình duyệt Internet Explorer mới nhất của Microsoft, hacker hoàn toàn có thể biến các website tấn công phishing trở thành những website chính thống.
Lỗ hổng nguy hiểm này do chuyên gia bảo mật người Israel Aviv Raff phát hiện và công bố. Khiếm khuyết nằm trong quá trình trình duyệt IE 7 xử lý trang báo lỗi định dạng HTML, đây là trang thường xuất hiện mỗi khi người dùng huỷ bỏ lệnh tải trang web.
Trình duyệt IE7 trên Windows Vista.
Thông báo lỗi có nội dung là “đường dẫn tới trang web đã bị huỷ”, và đưa ra lựa chọn "refresh lại trang web”. Nếu người dùng nhấp chuột lên đường link để refresh, trình duyệt IE7 sẽ bị lừa và hiển thị sai địa chỉ của trang web đó. Ông Raff đã công bố đoạn mã chứng minh về phương thức IE bị “sai khiến” để hiển thị một trang web trên website của ông như thể chúng thuộc tên miền CNN.com.
Theo ông Raff, rất có thể tin tặc sẽ lợi dụng sơ hở này để biến các website lừa đảo của chúng thành những website hợp lệ. Loại lỗ hổng này thuộc loại lỗi cross-site scripting, ảnh hưởng tới trình duyệt IE7 trên cả Vista lẫn Windows XP.
Ông Raff cho biết: “Tôi có thể chèn và hiển thị bất cứ thứ gì tôi muốn lên trang web giả mạo khi người dùng kích chuột vào nút refresh. Nếu kết hợp sơ hở này với lỗi thiết kế website, kẻ xấu hoàn toàn có khả năng tạo ra được bất cứ nội dung gì trên website, và bất cứ địa chỉ web nào lên thanh địa chỉ trong trình duyệt”.
Đại gia phần mềm Microsoft vẫn chưa có phản ứng gì về những phát hiện của Raff, song Microsoft cũng cho biết đang điều tra thêm về lỗ hổng bảo mật này, và họ “chưa thấy có vụ tấn công nào lợi dụng sơ hở vừa được thông báo, cũng như những ảnh hưởng đến khách hàng trong thời gian này”.
Đỗ Dương (Theo Infoworld)