Microsoft cảnh báo về lỗi zero-day mới của Windows

00:00, 08/02/2011

 Theo các nhà nghiên cứu, chỉ người dùng Internet Explorer mới gặp nguy hiểm, các trình duyệt khác không bị khai thác.

Microsoft đã cảnh báo người dùng Windows về một lỗ hổng mới chưa vá, có thể bị khai thác để ăn cắp thông tin, lừa mọi người cài đặt phần mềm độc hại (malware).

Trong bản tư vấn bảo mật đưa ra hôm 28/1/2011, Microsoft đã thừa nhận lỗi trong trình xử lý giao thức MHTML (MIME HTML) của Windows. Lỗi này có thể bị những kẻ tấn công sử dụng để chạy các script độc hại trong Internet Explorer (IE).

Theo ông Andrew Storms, giám đốc các hoạt động bảo mật tại Security nCircle, đây là biến thể của lỗ hổng XSS (cross-site scripting). Các lỗi XSS có thể bị sử dụng để chèn script độc vào một trang web, sau đó có thể chiếm quyền điều khiển phiên duyệt web.

Lỗ hổng đã bị công khai tuần trước khi website WooYun.org của Trung Quốc công bố mã chứng minh khái niệm.

MHTML là giao thức trang web kết hợp nhiều tài nguyên của một số định dạng khác nhau - hình ảnh, applet Java, hình động Flash… - vào một file duy nhất. Chỉ IE và Opera (của Opera Software) hỗ trợ MHTML; Chrome và Safari (của Apple) thì không, Firefox thì có thể nhưng nó đòi hỏi add-on để đọc và ghi các file MHTML.

Ông Wolfgang Kandek, giám đốc công nghệ của Qualys chỉ ra rằng, người dùng IE có nguy cơ cao nhất. Tất cả các phiên bản Windows được hỗ trợ, bao gồm Windows XP, Vista và Windows 7, đều chứa trình xử lý giao thức “dính” lỗi. Đó là một trong những lý do khiến ông Storms tin rằng, nó sẽ làm Microsoft mất thời gian để đưa ra bản vá lỗi.

Thay cho bản vá lỗi, Microsoft khuyến cáo người dùng khóa trình xử lý giao thức MHTML bằng cách chạy công cụ "FixIt". Có thể tải công cụ FixIt về từ website hỗ trợ của Microsoft.


Văn Kính (theo PCW)