Một chuyên gia bảo mật Israel vừa phát hiện ra cách ăn trộm thông tin từ những máy tính có cài đặt công cụ tìm kiếm Google Desktop, bằng cách xoáy sâu vào lỗ hổng chưa được vá trong trình duyệt Internet Explorer.
Theo Matan Gillon, có một sơ hở rất lớn trong cách thức trình duyệt Web này xử lý các quy tắc CSS. CSS, hay Cascading Style Sheets, là phương pháp thiết lập style chung cho nhiều web page hiện đang được sử dụng rộng rãi trên mạng Internet.
Đây lại là một thí dụ cho thấy các lỗ hổng bảo mật trong phần mềm có thể mở toang cửa cho hacker tấn công vào các chương trình trong máy tính như thế nào, kể cả khi đó là Google Desktop.
"Lỗ hổng vừa phát hiện trong IE cho phép kẻ tấn công "moi" thông tin cá nhân của người dùng hoặc ra lệnh cho máy thực hiện một số câu lệnh từ xa", Gillon cho biết. Anh này đã giả lập một website mà khi người dùng ghé thăm bằng trình duyệt IE, trên một máy tính có cài đặt Google Desktop, hacker có thể lợi dụng chính công cụ này để tìm kiếm từ khóa "mật khẩu".
Như vậy, để khai thác lỗ hổng này, kẻ tấn công trước hết phải quyến rũ người dùng bằng một trang Web hiểm độc. Loại website này có đầy rẫy trên mạng, chưa kể các website phisher, giả mạo những website danh tiếng. Nguy hiểm nhất, không thể giải quyết lỗ hổng này chỉ bằng một giải pháp đơn lẻ, nên nguy cơ người dùng sa bẫy là rất lớn. Nguy cơ, theo Gillon, chỉ có thể chấm dứt một khi IE được vá.
Hiện Microsoft vẫn đang điều tra lỗ hổng nguy hiểm này. Một miếng vá bảo mật hoặc tư vấn đặc biệt về sự cố sẽ được tung ra trong thời gian gần. Bản thân Google cũng đang xác minh lại phát hiện của Gillon.
Trong trường hợp này, Gillon chỉ sử dụng lỗ hổng IE để xâm nhập vào Google Desktop, nhưng trên thực tế, lỗ hổng phần mềm có thể bị lợi dụng để lẻn vào gần như mọi ứng dụng trên máy tính. Một tin khá mừng là Firefox và Opera không bị dính lỗ hổng này như IE, nên theo khuyến cáo của anh, người dùng nên sử dụng một trong những trình duyệt này hoặc tắt chức năng JavaSript của IE đi.
Đây quả là một tuần ác mộng cho Microsoft. Bốn phương pháp tấn công giả tưởng nhằm vào lỗ hổng trong hệ điều hành Windows vừa bị công bố, trong khi một chương trình Trojan đã tìm ra cách xâm nhập vào máy tính thông qua lỗ hổng chưa được vá của IE.
Thiên Ý (Theo CNET)