Lỗi bảo mật kéo - thả trong IE

Các chuyên gia bảo mật vừa cảnh báo về lỗi bảo trong chức năng kéo thả (drag-and-drop) của Internet Explorer.

Lỗi này tạo điều kiện cho các mã độc xâm nhập và sau đó, hacker có thể kiểm soát hoàn toàn máy tính. Lỗi này ảnh hưởng đến hầu hết các phiên bản trình duyệt IE từ 5.01 cho đến 6.0.

Chức năng kéo thả (drag-and-drop) vốn là một trong những tiện ích được ưa chuộng nhất của Windows. Giờ đây, chính tính năng này lại có thể gây ra nguy hiểm cho nhiều máy tính của người dùng. Vào tháng 8-2005, Microsoft đã công bố khả năng có thể bị tấn công từ chức năng kéo thả (drag-and-drop) trong trình duyệt IE. Ngày thứ hai vừa qua, Websense cũng đã thông báo, phát hiện một số website lợi dụng lỗ hổng trong tính năng kéo thả này của Microsoft để tấn công người dùng.

Người dùng rất dễ bị đánh lừa thực hiện các thao tác kéo thả khi truy xuất các website này. Ngay khi họ vừa thả chuột, các mã độc đã âm thầm hoạt động và lây nhiễm vào máy tính của bạn. Rất khó để các chương trình diệt virus và chống spam phát hiện các mã này vì nói chung chúng khá là “hợp thức hóa”.

Bản vá

Microsoft nói, họ chưa thể đưa ra ngay bản vá tức thời, tuy nhiên, bản vá cho lỗi này chắc chắn sẽ có mặt trong Windows 2003 service pack 2 và Windows XP service pack 3.

Website SecuriTeam, nơi thông báo phát hiện lỗi bảo mật trên, cũng đã đưa ra 3 phương pháp để phòng chống. Bạn có thể vào đây để xem nguyên văn. Nếu bạn là người có kiến thức sơ bộ và vốn tiếng Anh kha khá, bạn có thể áp dụng một trong ba cách trên để phòng tránh. Còn không, một lời khuyên hữu ích nhất vẫn là, nâng cấp các trình chống virus và tường lửa.

Microsoft vẫn chưa đánh giá đây là một lỗi nghiêm trọng, và vì thế, trong đợt phát hành bản vá định kỳ tháng này, họ sẽ đưa ra các bản vá cho Windows Media Player, Microsoft Office và một vài lỗi khác của Windows.

TRẦN HUY