Microsoft cảnh báo về lỗi zero-day mới của Windows Theo các nhà nghiên cứu, chỉ người dùng Internet Explorer mới gặp nguy hiểm, các trình duyệt khác không bị khai thác.. Microsoft đã c
Trang 1Microsoft cảnh báo về lỗi zero-day mới của Windows
Theo các nhà nghiên cứu, chỉ người dùng Internet Explorer mới gặp nguy hiểm, các trình duyệt khác không bị khai thác
Microsoft đã cảnh báo người dùng Windows
về một lỗ hổng mới chưa vá, có thể bị khai thác để ăn cắp thông tin, lừa mọi người cài đặt phần mềm độc hại (malware)
Trong bản tư vấn bảo mật đưa ra hôm
28/1/2011, Microsoft đã thừa nhận lỗi trong trình xử lý giao thức MHTML (MIME
HTML) của Windows Lỗi này có thể bị
Trang 2những kẻ tấn công sử dụng để chạy các
script độc hại trong Internet Explorer (IE)
Trang 3Theo ông Andrew Storms, giám đốc các
hoạt động bảo mật tại Security nCircle, đây
là biến thể của lỗ hổng XSS (cross-site
scripting) Các lỗi XSS có thể bị sử dụng để chèn script độc vào một trang web, sau đó
có thể chiếm quyền điều khiển phiên duyệt web
Lỗ hổng đã bị công khai tuần trước khi
website WooYun.org của Trung Quốc công
bố mã chứng minh khái niệm
MHTML là giao thức trang web kết hợp
nhiều tài nguyên của một số định dạng khác nhau - hình ảnh, applet Java, hình động
Flash… - vào một file duy nhất Chỉ IE và Opera (của Opera Software) hỗ trợ
Trang 4MHTML; Chrome và Safari (của Apple) thì không, Firefox thì có thể nhưng nó đòi hỏi add-on để đọc và ghi các file MHTML
Ông Wolfgang Kandek, giám đốc công nghệ của Qualys chỉ ra rằng, người dùng IE có
nguy cơ cao nhất Tất cả các phiên bản
Windows được hỗ trợ, bao gồm Windows
XP, Vista và Windows 7, đều chứa trình xử
lý giao thức “dính” lỗi Đó là một trong
những lý do khiến ông Storms tin rằng, nó
sẽ làm Microsoft mất thời gian để đưa ra bản
vá lỗi
Thay cho bản vá lỗi, Microsoft khuyến cáo người dùng khóa trình xử lý giao thức
MHTML bằng cách chạy công cụ "FixIt"
Trang 5Có thể tải công cụ FixIt về từ website hỗ trợ của Microsoft