Microsoft Outlook 2003 “chết” vì lỗi của IE

(Dân trí) - Chỉ với một lỗi nhỏ của Internet Explorer (IE), người dùng e-mail Outlook 2003 cũng đủ để “toát mồ hôi hột”. Tình hình đã trở nên nghiêm trọng hơn nhiều so với những phỏng đoán ban đầu của các chuyên gia phần mềm.

Các cuộc tấn công có thể xảy ra khi trình duyệt web IE hay Outlook 2003 xử lí mã đồ họa trên web được viết bằng ngôn ngữ Vector Markup (VML).

 

Công ty Phần mềm Sunbelt, phát hiện ra lỗi này đầu tiên, cho biết hiện tin tặc vẫn chưa tiến hành tấn công e-mail. Tuy nhiên, cho đến nay giới hacker đã tung ra phần mềm đánh vào điểm yếu này.

 

Theo phỏng đoán ban đầu chỉ có IE bị “ngắm” nhưng Sunbelt lại cảnh báo thêm cả người dùng Outlook 2003 cũng gặp nguy hiểm.

 

Các nhà nghiên cứu đã tìm ra cách xử lí mã mà không cần sử dụng mã script, một loại mã mà thông thường sẽ bị Outlook khóa. Bằng cách nhúng một chương trình “mã chạy” (shell code) dùng ngôn ngữ máy vào đuôi VML, họ đã có thể chạy được phần mềm không được cấp phép trên những hệ thống có cài phiên bản Outlook 2003 mới nhất.

 

Điều này thực sự đáng lo ngại vì rất có thể máy tính của bạn bị mất nhiều chức năng hoặc không thể sử dụng được nữa.

 

Người dùng Outlook hãy coi chừng!

 

Để tấn công Internet Explorer, đầu tiên tin tặc sẽ lừa người dùng truy cập vào những trang web nguy hiểm. Nhưng việc này thậm chí còn đơn giản hơn rất nhiều nếu chúng muốn nhằm vào người dùng Outlook.

 

Ông Eric Sites, Phó Phòng Nghiên cứu và phát triển của công ty Sunbelt cảnh báo “Tin tặc rất có thể sẽ gửi một e-mail đuôi HTML, và sau đó là kiểm soát người dùng”.

 

Microsoft dự định khắc phục điểm yếu này trên VML từ ngày 10/10 nh ưng theo ông Sites, tin tặc có thể sẽ buộc các nhà cung ứng phần mềm phải ra tay sớm hơn. Ông này nói: “ Tôi nghĩ tình hình sẽ trở nên tồi tệ hơn, và buộc họ sẽ phải chỉnh sửa sớm”.

 

Các nhà nghiên cứu tại bộ phận iDefense của VeriSign cảnh báo một số cấu hình của Outlook sẽ chạy loại mã này mà không cần sự tiếp tay của nạn nhân. Người dùng Outlook có cài thêm Reading Pane để đọc thư đuôi HTML sẽ dễ bị tấn công nhất

 

Microsoft khuyên người dùng muốn tự bảo vệ thì phải đặt Outlook ở chế độ đọc e-mail theo định dạng văn bản, không có mật mã. 

 

Theo nghiên cứu, Outlook 2003 lẽ ra không được phép biến đổi mã VML một cách tự động. Tuy nhiên phần mềm này dường như khó chống đỡ vì một lỗi thứ hai trong phần mềm của Microsoft. Russ Cooper, nhà phân tích bảo mật thông tin cao cấp của Cybertrust cho hay: “Một số phiên bản của Outlook tự biến đổi VML mặc dù lẽ ra nó không được làm thế. Và Microsoft nên xem xét kỹ vấn đề này”.

 

Ông Sites cũng nhận thấy: “ Dường như vẫn còn lỗi trong phiên bản mới nhất của Outlook”

 

Lãnh đạo của Microsoft hiện vẫn chưa có bình luận gì về vấn đề này.

 

Thu Hiền

Theo PCWorld