Một quảng cáo pop-up của I-Lookup |
Một hãng cung cấp phần mềm quảng cáo (adware) vừa bị phát giác là đã sử dụng hai lỗ hổng bảo mật, trước đó chưa hề được biết đến, trong trình duyệt Internet Explorer của Microsoft để cài đặt ngầm một thanh công cụ lên máy tính của các ''nạn nhân'' lướt web, sau đó ''phun'' ra các quảng cáo pop-up khó chịu.
Một lỗ hổng cho phép kẻ tấn công có thể chạy một chương trình trên máy tính của nạn nhân, lỗ còn lại cho phép đoạn mã chương trình phá hoại ''chuyển vùng'' - hay chạy với các đặc quyền cao hơn mức thông thường. Cùng nhau, hai lỗi này cho phép tạo ra một website mà khi các nạn nhân ghé thăm, nó sẽ upload vào máy tính của họ và cài các chương trình, theo như các nhà phân tích về lỗ hổng bảo mật cho biết.
Có khả năng một nhóm hoặc một công ty phần mềm quảng cáo đã sử dụng các lỗ hổng này như một cách để lén cài các phần mềm quảng cáo không mong muốn (adware) vào máy tính của người truy cập. Và hành động này có thể là căn cứ để buộc tội phạm pháp, theo như nhận định của ông Stephen Toulouse, Giám đốc chương trình bảo mật của Microsoft.
Microsoft đã phát hiện vấn đề này khi một chuyên gia nghiên cứu bảo mật đưa ra một bản phân tích về lỗi này trên diễn đàn bảo mật Full Disclosure hôm thứ hai đầu tuần (7/6). Người khổng lồ phần mềm đã liên hệ với FBI và cho biết đang trong những giai đoạn đầu của việc hình thành vụ án. Microsoft đang cân nhắc việc tạo ra một bản sửa lỗi nhanh chóng và phát hành ngay khi có thể, hơn là đợi đến kỳ báo cáo bảo mật hàng tháng.
Các lỗ hổng này có vẻ đã được sử dụng để cài đặt thanh tìm kiếm I-Lookup, một thanh công cụ adware được đưa thêm vào các mục công cụ của IE. Adware này thay đổi địa chỉ trang chủ Internet Explorer, kết nối tới 1 trong 6 site quảng cáo và liên tục hiển thị các pop-up - chủ yếu là các quảng cáo khiêu dâm, theo như một khuyến cáo về adware trên website của Symantec.
Hôm thứ 3 tuần này, Nhóm thông tin bảo mật Secunia đã đưa ra một khuyến nghị về lỗ hổng này, và đánh giá chúng đều ở mức ''đặc biệt nguy cấp''.
Các lỗ hổng này có thể cho phép bất kỳ kẻ tấn công nào, với một website do hắn tạo ra, gửi một e-mail hoặc tin nhắn có chứa đường link tới website của hắn. Khi người dùng Internet Explorer click vào đường link này, nó sẽ kích hoạt một chương trình upload từ website của tấn công lên máy tính của nạn nhân để giành quyền kiểm soát.
Bình Minh - Theo CNET