IE6 lại dính lỗi "zero-day" nguy hiểm

Yichong Lin - Chuyên gia phân tích của Hãng bảo mật McAfee - cho biết thực chất lỗi XSS (cross-site scripting) trên đây là "một biến thể" khác của lỗi bảo mật đã được hai chuyên gia nghiên cứu bảo mật Manuel Caballero và Fukami công bố tại Hội nghị bảo mật BlueHat do Microsoft tổ chức hồi đầu tháng.

Khi đó Caballero cho biết đã phát hiện một phương pháp cho phép ghi lại mọi hoạt động của trình duyệt - trong đó bao gồm cả những thao tác nhập mật khẩu đăng nhập tài khoản trực tuyến.

Trong một đoạn video phỏng vấn Caballero do chính Microsoft thực hiện, chuyên gia nghiên cứu bảo mật này khẳng định nếu như hacker có thể kết hợp Flash với lỗi bảo mật trên thì chúng có thể chèn được mã độc vào PC người dùng cho phép chúng đoạt được quyền kiểm soát toàn bộ hệ thống.

Hãng bảo mật Secunia cho biết thông tin chi tiết về biến thể lỗi bảo mật IE6 cũng như mã tấn công đã được cho xuất bản trên tạp chí bảo mật điện tử bằng tiếng Trung Quốc có tên "Ph4nt0m Security Team".

Secunia cho biết lỗi bảo mật bắt nguồn từ một lỗi xử lý dữ liệu đầu vào khi trình duyệt phải xử lý giá trị "location" trong thuộc tính đối tượng "location.href". Hacker có thể lợi dụng lỗi này giúp chúng có thể từ xa điều khiển thực thi mã độc trực tiếp trên trình duyệt.

Internet Explorer 7 không mắc lỗi trên. Chính vì thế mà các hãng bảo mật khuyến cáo người dùng nên nhanh chóng nâng cấp lên phiên bản trình duyệt này.

Yichong cho biết McAfee đã gửi cảnh báo cùng thông tin chi tiết về lỗi bảo mật nói trên cho Microsoft.