Sau khi US-CERT và SecurityFocus tiết lộ một lỗi bảo mật ActiveX mới trong trình duyêt Internet Explorer 6 trên Microsoft Security Response Center Blog, Microsoft khẳng định sẽ điều tra cụ thể về lỗi bảo mật này.
Hôm qua, Microsoft đã chính thức tiết lộ thông tin chi tiết về lỗi bảo mật này.
Microsoft tuyên bố lỗi bảo mật ActiveX nói trên hoàn toàn không nguy hiểm, nó chỉ là một lỗi bảo mật hạng xoàng khó có thể bị khai thác để từ xa chiếm quyền điều khiển hệ thống mắc lỗi.
Chỉ có một số phiên bản Windows có cài đặt Microsoft XML Core Services 4.0 - bộ công cụ cho phép các nhà lập trình sử dụng ngôn ngữ script để truy cập đến văn bản định dạng XML – là bị mắc lỗi bảo mật ActiveX đó.
Cụ thể những phiên bản Windows bị mắc lỗi gồm Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows Server 2003, và Microsoft Windows Server 2003 Service Pack 1.
Để có khai thác thành công lỗi bảo mật này kẻ tấn công phải lừa được người dùng truy cập vào một trang web được lập trình đặc biệt có gắn mã khai thác lỗi XMLHTTP 4.0 ActiveX Control. Không những thế kẻ tấn công còn buộc phải có được quyền truy cập vào hệ thống bị mắc lỗi tương tự như quyền truy cập mà người dùng đang sử dụng. Nếu có đủ được các điều kiện này thì mới có thể đoạt được toàn bộ quyền kiểm soát hệ thống bị mắc lỗi.
Microsoft tuyên bố đã từng có một lỗi XMLHTTP ActiveX Control tương tự đã được phát hiện 5 năm trước đây. Lỗi này sau đó đã được khắc phục.
Để tự bảo vệ mình người dùng có thể vô hiệu hoá tính năng ActiveX Control của trình duyệt. Tuy nhiên nếu vô hiệu hoá tính năng này thì một số trang web có thể sẽ gặp trục trặc.
SANS Institute xếp lỗi bảo mật ActiveX Control mới được phát hiện trong Internet Explorer 6 là một lỗi “zero-day”. Điều này đồng nghĩa với việc lỗi này hiện vẫn chưa được vá. Trong khi đó, một số hãng bảo mật khác lại xếp lỗi này vào mức “cực kỳ nguy hiểm”.
Hoàng Dũng