Thứ Hai, 05/12/2005 - 09:25
Lỗi IE “mở cửa” Google Desktop
(Dân trí) - Lỗ hổng chưa được vá trong trình duyệt Internet Explorer của Microsoft có thể sẽ cho phép tin tặc ăn cắp thông tin của người dùng công cụ tìm kiếm Google Desktop, một nhà nghiên cứu an ninh ở Israel vừa phát hiện nguy cơ rủi ro an ninh trong IE.
Đây là một khiếm khuyết trong khi trình duyệt IE xử lý CSS, nhà nghiên cứu an ninh Israel Matan Gillon cho biết. CSS (Cascading Style Sheets) là phương pháp cài đặt style chung trên đồng thời nhiều website. Kỹ thuật thiết kế web này hiện đang được sử dụng rộng rãi trên rất nhiều site.
Phương pháp “proof-of-concept” là một ví dụ thể hiện cách thức lỗi an ninh trong phần mềm cho phép nhiều người truy cập các chương trình trên PC bị lỗi, trong đó có cả công cụ tìm kiếm trên Desktop của Google.
“Lỗi trong kỹ thuật thiết kế web trên IE cho phép kẻ tấn công khôi phục dữ liệu cá nhân của người dùng hoặc "thay mặt" người dùng điều hành từ xa tên miền của site đó”, Gillon cho biết. “Khi người dùng đang truy cập Internet Explorer trên máy tính có cài đặt Google Desktop, website sẽ sử dụng công cụ tìm kiếm này và “hồi” lại cho tin tặc kết quả truy vấn về mật khẩu (password), số thẻ tín dụng.
Để khai thác lỗ hổng này, kẻ tấn công sẽ phải lừa nạn nhân đăng nhập vào website nguy hiểm. Theo Gillon, hiện tại đã có rất nhiều site bị lợi dụng nên sẽ rất khó khăn trong việc ngăn chặn cuộc đột kích của tin tặc nếu Microsoft không bít lỗi trong IE.
Microsoft và Google đang điều tra về sự việc này. “Khiếm khuyết này có thể cho phép hacker truy cập vào nhiều website khác nhau nếu trang web đó được thiết kế theo kỹ thuật CSS”, hãng phần mềm Mỹ nhận định.
Hiện tại Microsoft vẫn chưa phát hiện ra mã nguy hiểm khai thác lỗi IE nay những hãng đang kiểm soát được tình hình. Một bản tư vấn an ninh về rủi ro này sẽ sớm được tung ra cho nguời dùng.
N.H (theo ZDNet)