[hanhphucbichtrang]

Hệ thống quảng cáo SangNhuong.com

I.E 7 và FireFox 2.0 “chia sẻ” lỗi bảo mật

TTO - Trong khi Internet Explorer 7 được Microsoft giới thiệu là trình duyệt được tăng cường độ bảo mật thì Mozilla cũng không kém cạnh với phiên bản FireFox 2.0 cải tiến.

Tuy nhiên, một lỗi bảo mật mà cả hai “đại gia” này cùng bị ảnh hưởng có thể đưa người dùng vào nguy cơ bị tấn công phishing.

Lỗi bảo mật được đặt tên là “Windows Injection Vulnerability”, rất dễ bị khai thác và thật sự là điều lo ngại của các nhà lập trình viên phát triển trong nhiều nhiều năm. Về cơ bản, các mã trong phạm vi trang web có khả năng gởi các popup (*) xuất hiện qua việc sử dụng ngôn ngữ Javascript và trong những trường hợp chúng vận hành trước các đoạn mã của popup, nó có thể gây ảnh hưởng lên nội dung của popup và tự thay thế nội dung bằng chính mình. Về lý thuyết thì khi người dùng kích hoạt chức năng ngăn chặn popup thì nguy cơ bị tấn công cũng không còn. Tuy nhiên, nếu một trang chứa mã độc được mở trong một cửa sổ trình duyệt trong khi một trang “ngoại lệ” (trang cho phép popup) cũng đang được mở thì lỗi này vẫn có thể bị khai thác.

Ảnh hưởng không chỉ với Internet Explorer phiên bản 6 và 7, lỗi còn “dính” tới trình duyệt FireFox phiên bản 1.5 và kể cả phiên bản 2.0 vừa được phát hành, được xem là bảo mật hơn Internet Explorer rất nhiều. Tháng 12-2004, Mozilla đã từng phát hành bản vá lỗi cho lỗi bảo mật này trong phiên bản FireFox 1.0.1 nhưng không có những cập nhật mới cho lỗi này từ thời gian đó tới nay. Secunia cũng nhấn mạnh về việc người dùng Internet Explorer 7 thật sự đang chịu nguy cơ tấn công nếu vẫn giữ thiết lập mặc định.

Vài năm trước, khi lỗi này được phát hiện, Microsoft đã tạo ra thiết lập bảo mật nhằm ứng phó với lỗi cho Internet Explorer 6 bằng việc cung cấp khả năng truy cập vào phần quản lý “Internet Options”. Đặc biệt là nó có thể truy xuất từ thẻ “Internet Option - Security”, nhấn chọn “Custom Level” và trong danh sách thiết lập xổ xuống, sẽ có “Navigate sub-frames across different domains” và bên dưới, chọn tùy chọn “Disable” để khóa. Hãng bảo mật Secunia cho biết trên những hệ thống đang cài đặt IE7 thì thiết lập này mặc định là khóa.

Giải pháp tốt nhất trong thời điểm hiện tại là người dùng nên bật tính năng ngăn chặn popup trong trình duyệt của mình hoặc nếu khóa chức năng này thì cũng không nên tắt chức năng lọc nội dung. Áp dụng cho cả Internet Explorer lẫn FireFox. Vì thực chất, với tính năng ngăn chặn popup xuất hiện hiện tại có trong Internet Explorer 7 và FireFox 2.0 chỉ ngăn chặn popup được xuất ra màn hình mà không lọc được nội dung của chúng.