Mặc dù chưa có bằng chứng nào về điểm yếu bảo mật dự báo trước việc thực hiện mã tuỳ biến của IE (tạo điều kiện cho kẻ tấn công hoặc sâu máy tính có thể nắm quyền điều khiển một hệ thống của nạn nhân), có nhiều khả năng đây sẽ là một lỗ hổng nghiêm trọng.

Chuyên gia tư vấn bảo mật của hãng Freelance, ông Dave Matthews cho biết nếu lỗi này có thể khai thác được, hiện chắc chắn đã có người tìm ra nó.

Lỗ hổng bảo mật nghiêm trọng tiềm ẩn này đã được công bố vào mailing list bảo mật BugTraq, trong một hành động mà Matthews cho biết là có lẽ là nhằm mục đích chống đối người khổng lồ phần mềm Microsoft. Điểm yếu gây tràn bộ đệm này có thể được thực hiện bằng một đoạn Java script phá hoại được nhúng trong một văn bản HTML. Khi một trang web hoặc một file HTML có chứa đoạn script phá hoại này được hiển thị bằng Internet Explorer, phiên bản 5 và 6, bộ đệm hệ thống sẽ bị tràn và trình duyệt này treo cứng.

Đoạn mã này đã được đưa lên mailing list về bảo mật của BugTraq, nhưng không nhận được nhiều sự chú ý cho lắm cho đến khi Kevin Finisterre, một nhà nghiên cứu bảo mật với hãng tư vấn Secure Network Operations, khẳng định nó cũng làm treo IE 6.

Một đại diện Microsoft cho biết công ty này đang điều tra vấn đề và chưa xác định mức độ nguy hiểm mà lỗ hổng này có thể gây ra. Người khổng lồ phần mềm này không đưa ra các công bố sớm trước khi các nhóm bảo mật của mình phân tích và xác định rõ về nguy cơ này.

Bình Minh - Theo CNET