Trình duyệt vừa ra mắt IE7 của Microsoft vẫn vấp phải một lỗ hổng đã bám riết lấy IE suốt từ tháng 12/2004 đến nay, hãng bảo mật Secunia cảnh báo.
Lỗ hổng này có mức độ nghiêm trọng trung bình (moderately critical), cho phép hacker giả mạo nội dung một số website, phục vụ cho các vụ tấn công phishing và ăn trộm danh tính người dùng của chúng.
"Một website có thể chèn nội dung vào trong cửa sổ của một site khác", Secunia cho biết. Điều này có nghĩa là hacker hoàn toàn có thể bật ra một cửa sổ pop-up giữa lòng một wesbite đáng tin cậy, và bên trong cửa sổ pop-up này chứa đầy những nội dung ngụy tạo.
Secunia khẳng định họ đã ghi nhận được lỗ hổng ở cả IE7 lẫn Microsoft Windows XP SP2. Từ 2 năm trước, lỗ hổng này đã được phát hiện thấy trong IE6.0, cũng bởi Secunia. Khi ấy, hãng này khuyến cáo người dùng không nên mở đồng thời các site không đáng tin cậy với những site chính thống.
Với việc lỗ hổng này tồn tại dai dẳng từ bản IE6 cho tới nay, có thể thấy Microsoft không coi vấn đề này quá nghiêm trọng. Họ thậm chí không nghĩ đây là một lỗ hổng.
Như vậy là kể từ khi IE7 chính thức phát hành (19/10) tới nay, người ta đã phát hiện được 3 lỗ hổng bảo mật bên trong trình duyệt này.
Ngay ngày đầu tiên IE7 ra mắt, các chuyên gia bảo mật đã tìm thấy một lỗ hổng có thể bị khai thác trong các vụ tấn công phishing lừa đảo nhưng Microsoft cho rằng đấy là lỗi của Outlook Express chứ không phải của IE.
Lỗ hổng thứ hai cũng có thể bị giới phisher khai thác để hiển thị một cửa sổ pop-up với thanh địa chỉ giả mạo, nói đúng hơn là một phần địa chỉ URL được "che khuất". Mã khai thác lỗ hổng này đã được tung hê lên mạng cho bàn dân thiên hạ đều biết.
Trọng Cầm (Theo eWeek)