Phát hiện lỗ hổng nguy hiểm trên trình duyệt IE

Một nhà nghiên cứu bảo mật máy tính đã phát hiện ra một lỗ hổng trong trình duyệt được sử dụng rộng rãi hiện nay –IE của Microsoft. Nhà nghiên cứu này cho rằng, lỗ hổng được phát hiện cho phép tin tặc đánh cắp nhận dạng để truy cập vào Facebook, Twitter và các trang web khác.

“Bất cứ trang web nào. Bất cứ Cookie nào (Cookie là các thông tin lưu trong máy tính thường được dùng để nhận ra người dùng khi ghé thăm một trang web). Giới hạn chỉ là tưởng tượng của người dùng”, theo Rosario Valotta, nhà nghiên cứu bảo mật Internet tư nhân có trụ sở tại Ý.

Tin tặc có thể khai thác lỗ hổng này để truy cập một tệp tin dữ liệu lưu trữ trong trình duyệt- còn gọi là Cookie. Các Cookie lưu giữ tên và mật khẩu đăng nhập của một tài khoản web, Valotta cho biết.

Mỗi khi tin tặc có Cookie đó, chúng có thể sử dụng để truy cập vào cùng website mà người dùng đã sử dụng. Ông gọi đó là kỹ thuật tấn công “cookiejacking”.

Lỗ hổng này tác động tới tất cả các phiên bản của trình duyệt IE, gồm IE9, đối với mọi phiên bản hệ điều hành Windows. Để khai thác lỗ hổng này, tin tặc phải thuyết phục các nạn nhân kéo và thả một đối tượng trên màn hình máy tính trước khi Cookie bị “cướp”.

Điều đó tưởng như là một nhiệm vụ khó khăn đối với tin tặc nhưng Valotta cho biết, ông đã thực hiện khá dễ dàng. Ông đặt ra một trò chơi trên Facebook để dụ người sử dụng “cởi đồ” của một phụ nữ hấp dẫn.

“Tôi tạo trò chơi trực tuyến này trên Facebook và chưa đến 3 ngày, hơn 80 Cookie đã được gửi tới máy chủ của tôi và tôi chỉ có 150 người bạn”.

Microsoft cho biết, rất ít nguy cơ một tin tặc có thể thành công trong mưu đồ tấn công “cookiejacking” ở thế giới thực. Theo phát ngôn viên của Microsoft – Jerry Bryant, “đây không phải là một vấn đề mà chúng đôi coi là nguy cơ cao”. Để bị tấn công, người dùng phải ghé thăm một trang web độc hại, bị thuyết phục kích và kéo thả các mục trên trang và kẻ tấn công sẽ cần nhắm tới các Cookie của website mà người dùng đã đăng nhập vào website đó.