Hôm thứ Sáu 3/9/2010, Microsoft cho biết đang xem xét kỹ một lỗ hổng được biết đến từ lâu trong Internet Explorer (IE), có thể được sử dụng để truy cập dữ liệu và các tài khoản trên web của người dùng.

Lỗi có thể cho phép tin tặc “cướp” nhiều tài khoản webmail, ăn cắp dữ liệu và gửi các tweet bất hợp pháp, kỹ sư bảo mật Chris Evans của Google cho biết trong một thông điệp đăng trên mailing-list Full Disclosure.

Ông Evans cũng công bố mã khai thác “chứng minh khái niệm” cho thấy, làm thế nào lỗ hổng trong IE8 có thể bị sử dụng để “trưng dụng” tài khoản Twitter của người dùng và gửi tweet trái phép.

Lỗ hổng tên là "CSS cross-origin theft" này có lịch sử khá dài. Các nhà nghiên cứu tại ĐH Carnegie Mellon đã nghiên cứu nó từ hồi năm 2002. Mặc dù vậy, lỗ hổng này vẫn ít được quan tâm cho đến khi ông Evans viết blog về nó hồi tháng 12/2009.

Mặc dù Microsoft vẫn chưa vá lỗ hổng trong IE8, nhưng các trình duyệt khác, bao gồm cả Firefox, Chrome, Safari và Opera, đều đã “bịt” lỗ hổng. IE9 sẽ bao gồm một miếng vá cho lỗi này.

Theo PCWorldVN