IP:52.15.238.221

Tin tức
Tin Công ty
Máy tính - Công nghệ
Y học - Sức khỏe
Giáo dục - Cuộc sống
Nhân vật & Sự kiện




Lại một lỗ hổng mới của IE được điều tra khẩn cấp
03/03/2010 08:05 AM

Microsoft đang tiến hành điều tra lỗ hổng chưa được vá trên VBScript. Lỗ hổng này cho phép tin tặc có thể khai thác và triển khai mã độc trên các thiết bị cài đặt hệ điều hành Windows XP, chạy trình duyệt IE.

Theo Maurycy Prodeus, nhà phân tích bảo mật Ba Lan, lỗ hổng này có thể được kẻ tấn công sử dụng để đưa đoạn mã độc vào máy tính của nạn nhân. Ông đã phát hiện ra lỗ hổng và đăng đoạn mã tấn công này. Prodeus cho biết, tất cả các máy tính sử dụng trình duyệt IE7 hay phiên bản mới IE8 đều có nguy cơ bị kẻ xấu tấn công.

Còn theo Jerry Bryant, nhà quản lý cao cấp của Trung tâm MSRC, Microsoft sẽ điều tra công khai lỗ hổng trên các tệp tin VBScript và Windows Help trong trình duyệt IE.

Theo Microsoft, các phiên bản Windows Vista, Windows 7, Windows Server 2008 và Windows Server 2008 R2 không bị ảnh hưởng bởi lỗi này, chỉ có những máy tính cài hệ điều hành Windows XP bị lỗi.

Bryant cho biết thêm, Microsoft chưa nhận thấy có dấu hiệu nào chứng tỏ đã có cuộc tấn công khai thác lỗ hổng trên. Prodeus đã gọi chúng là “lỗ hổng logic” và cho biết, kẻ tấn công có thể khai thác chúng, đưa những mã độc được ngụy trang như một tệp tin hỗ trợ của Windows (các tệp tin “.hlp” mở rộng), rồi thuyết phục người dùng nhấn phím F1 khi có một cửa sổ pop-up xuất hiện.

Ông đã đánh giá đây là lỗ hổng loại trung bình vì chúng yêu cầu người dùng phải tác động vào. Prodeus cho biết, đầu tiên kẻ tấn công cần buộc nạn nhân ghé thăm một trang web chứa mã độc. Nhưng nạn nhân này phải sử dụng máy tính cài Windows XP và trình duyệt IE. Sau đó, nạn nhân phải ấn phím F1 khi pop-up VBScript xuất hiện.

Còn nhà nghiên cứu bảo mật Cesar Cerrudo lại đánh giá mức độ nghiêm trọng của lỗ hổng này cao hơn đánh giá của Prodeus. Mức độ cao ở đây là buộc người dùng ấn phím F1 khi được yêu cầu. Tin tặc có thể quấy rầy người dùng với hàng trăm tin nhắn nói rằng, người dùng cần ấn phím F1 để tiếp tục. Theo Cerrudo, cuộc tấn công của Prodeus theo lỗ hổng này đã thành công vì đã lạm dụng chức năng của 'MsgBox()' VBScript.

Mặc khác, Bryant chưa đưa thời gian để hãng sửa lỗi này và rất có thể chúng sẽ được thực hiện theo đúng lịch trình phát hành bản vá hàng tháng của Microsoft vào ngày 9/3 tới.

Theo ICTNews




CÁC TIN KHÁC

• Chrome độc diễn trong tháng 2 (03/03/2010)
• Firefox tiếp tục mất thị phần (03/03/2010)
• Google thôn tính thêm Picnik để tăng sức mạnh (03/03/2010)
• Microsoft chính thức cho phép lựa chọn trình duyệt (02/03/2010)
• Microsoft và Yahoo liên kết chống đối thủ chung (02/03/2010)
• Các nhà mạng hợp sức “hạ bệ” gian hàng của Apple (02/03/2010)
• Microsoft thắng vụ kiện hạ cấp xuống Windows XP (01/03/2010)
• Xuất hiện trình giả mạo Microsoft Security Essentials (01/03/2010)
• Google vô giá với giới khoa học Trung Quốc (01/03/2010)
• Cảnh giác với 10 mối đe dọa bảo mật năm 2010 (01/03/2010)




BLUE IDEA Trading and Computer Technology Company Limited
Copyright © 2009 BLUE IDEA Co., Ltd