"Thủ thuật shortcut" chỉ là trò lừa bịp?

  •  
  • 370

Microsoft đã chính thức khẳng định "thủ thuật shortcut" liên quan đến trình duyệt Internet Explorer hoàn toàn không phải là một lỗi bảo mật.

"Thủ thuật shortcut" cho rằng một tệp tin có khả năng tự động thực thi hoàn toàn có thể được kích hoạt khi người dùng nhập địa chỉ trang web vào trình duyệt Internet Explorer.

Theo đó, với những ai sử dụng hệ điều hành Windows XP và trình duyệt Internet Explorer, nếu họ nhập địa chỉ một trang web bất kỳ - ví dụ www.microsoft.com - vào trình duyệt thì thay vì nhìn thấy được trang web đó một tệp tin có khả năng tự thực thi nằm trên hệ thống PC của người dùng sẽ được khởi động.

Microsoft đã tiến hành thử nghiệm kiểm tra tính xác thực của "trò lừa bịp shortcut" như sau:

Nguồn: realtech

• Nhắp phải chuột lên màn hình và chọn News | Shortcut
• Chỉ đường dẫn của Shortcut mới đến một tệp tin có thể tự thực thi - ví dụ c:\windows\system32\calc.exe
• Đặt tên cho Shortcut vừa tạo là www.microsoft.com
• Khởi động trình duyệt Internet Explorer và nhập "www.microsoft.com" vào thanh địa chỉ

Với cách nhập địa chỉ như thế thì "calc.exe" có thể được gọi lên. Nhưng nếu shortcut vừa tạo ở trên bị xoá đi hoặc bổ sung thêm các kí tự "http://" vào trước "www" trong thanh địa chỉ trình duyệt thì IE sẽ kết nối tới Internet chứ không khởi động tệp tin như trên.

Peter Watson - cố vấn bảo mật trưởng của Microsoft Australia - khẳng định đây không phải là một lỗi bảo mật và nó chỉ là một tinh năng có thể được sử dụng để kích hoạt các ứng dụng hợp pháp.

"Chúng ta cần làm rõ sự khác biệt giữa một vấn đề bảo mật với một tính năng của ứng dụng. Một lỗi bảo mật có thể giúp tin tặc làm một điều gì đó. Nhưng trong trường hợp này thì không. Các phần mềm được cài đặt một cách hợp pháp trên hệ thống của người dùng mới có thể được kích hoạt thông qua tính năng nay," Watson cho biết.

Theo chuyên gia Watson, "thủ thuật shortcut" có thể giúp người dùng trong việc tự động hoá một số công việc.

Tuy nhiên, các chuyên gia bảo mật là có quan điểm hoàn toàn khác. Họ cho rằng đây hoàn toàn không phải là một tính năng cần thiết và nó có thể bị những kẻ lập trình phần mềm độc hại lợi dụng.

Hoàng Dũng

Theo VnMedia
  • 370