Lỗi bảo mật phishing mới phát hiện trong IE 7

Các chuyên gia bảo mật vừa phát hiện một điểm yếu chết người trong Internet Explorer 7 có thể bị tin tặc lợi dụng để qua mặt tính năng chống phishing của trình duyệt này.

Hãng bảo mật Secunia cho biết IE 7 cho phép một trang web hiển thị một cửa sổ pop-up chứa một đường liên kết giả mạo rất tinh vi. Hacker có thể lợi dụng lỗi bảo mật này để lừa người dùng Internet truy cập vào một trang web độc mà họ vẫn tưởng như đang truy cập vào một trang web đáng tin cậy.

Không chỉ phát hiện, Secunia còn tạo ra cả một ví dụ thực tế để minh chứng cho lỗi bảo mật nói trên. Trong ví dụ này, cửa sổ pop-up vẫn hiển thị địa chỉ trang web chính thức của Microsoft nhưng nội dung lại là một trang web riêng của Secunia.

Đại diện của Microsoft cho biết gốc rễ của lỗi bảo mật nói trên là nằm trong cách thức mà IE 7 cho hiển thị địa chỉ web trên thanh Address. Cửa sổ pop-up bung ra thường chặn phần bên trái của địa chỉ web, nếu nhắp chuột vào cửa sổ trình duyệt hoặc thanh Address thì toàn bộ địa chỉ thực sẽ hiện ra.

Tuy nhiên, những vụ tấn công thông qua việc lợi dụng lỗi bảo mật này sẽ không thể thành công nếu trang web bung ra là một trang web phishing đã được liệt vào danh sách đen, Microsoft khẳng định. Tính năng chống phishing của IE sẽ nhận diện được trang web và cảnh báo người dùng.

Hiện Microsoft vẫn chưa ghi nhận được bất kỳ một vụ tấn công nào thông qua việc lợi dụng lỗi bảo mật nói trên.

Hãng bảo mật Secunia chỉ xếp lỗi bảo mật này vào mức “less critical” (không quan trọng). Tuy nhiên, đây vẫn được xem là lỗi bảo mật đầu tiên trong trình duyệt mới của Microsoft.

Microsoft sẽ tiếp tục điều tra thêm về lỗi bảo mật giả mạo địa chỉ web trong IE 7 và sẽ cho khắc phục trong thời gian sớm nhất.

Hoàng Dũng