Chỗ bị tổn thương mới mang tính sống còn trong Internet Explorer

Thứ hai - 30/11/2009 06:47

Newcritical vulnerability in Internet Explorer

23November 2009, 12:01

Theo:http://www.h-online.com/security/news/item/New-critical-vulnerability-in-Internet-Explorer-866155.html

Bàiđược đưa lên Internet ngày: 23/11/2009

Lờingười dịch: Lỗi trong IE, có liên quan tới mshtml.dllcủa Microsoft, nên những trình duyệt khác có thể cũng sẽbị ảnh hưởng.

Thứ sáu tuần trước,một bài viết với đầu đề “IE7” và chỉ chứa mộtít dòng mã HTML không có bình luận đã xuất hiện trêndanh sách thư về an ninh của BugTraq. Một vài hãng an ninhtừ đó đã khẳng định rằng mã nguồn này thể hiệnmột lỗ hổng an ninh còn chưa được biết tới trướcđó trong Internet Explorer.

LastFriday, a postingentitled "IE7" and containing only a few uncommented linesof HTML code appeared on the BugTraq security mailing list. Severalsecurity firms have since confirmed that the code demonstrates apreviously unknown security hole in Internet Explorer.

Trongcác thí nghiệm đầu tiên của heise Security, InternetExplorer đã hỏng khi cố truy cập trang HTML này. Hãng anninh Symantec khẳng định rằng, trong khi khai thác hiệnhành với lỗi ngày số 0 (zero day) còn chưa được tincậy, thì mã nguồn khai thác ổn định hơn mà sẽ thểhiện một mối đe dọa thực sự được chờ đón sẽxuất hiện trong tương lai gần. Hãng an ninh của Pháp làVUPEN đã định thể hiện lại vấn đề an ninh này trongInternet Explorer 6 và 7 trên Windows XP SP3, cảnh báo rằngthứ này cho phép các tin tặc thâm nhập tùy ý vào mãnguồn và gây lây nhiễm cho một máy tính với mã độchại. Microsoft còn chưa bình luận già về vấn đề này.

Sựnhận diện thực sự của người gửi “securitylab.ir”vẫn còn chưa được biết, nhưng tên húy này đã xuấthiện trong các lời tư vấn và các khai thác khắp lĩnhvực này từ tháng 4/2009. Sự giả mạo này dường nhưđược khuấy lên khi gọi phương thức getElementsByTagNameJavaScript. Điều này có nghĩa là những người sử dụngIE có thể bảo vệ các hệ thống của họ bằng việc vôhiệu hóa những thiết lập Active Scripting cho vùngInternet, dù như là kết quả, nhiều trang web sẽ không cònhoạt động được nữa. Vì sự giả mạo có thể đượcdẫn vết tới thư viện mshtml.dll của Microsoft, nên nóhình như là những trình duyệt khác cũng sẽ bị ảnhhưởng.

Infirst tests by heise Security, Internet Explorer crashed when tryingto access the HTML page. Security firm Symantec confirmsthat, while the current zero day exploit is unreliable, more stableexploit code which will present a real threat is expected to appearin the near future. French security firm VUPEN managed to reproducethe security problem in Internet Explorer 6 and 7 on Windows XP SP3,warningthat this allows attackers to inject arbitrary code and infect asystem with malicious code. Microsoft has not yet commented on theproblem.

Thereal identity of sender "securitylab.ir" remains unknown,but the pseudonym has appeared in advisoriesand exploitsacross various areas since April 2009. The flaw appears to betriggered when calling the getElementsByTagName JavaScript method.This means that IE users can protect their systems by disabling theActive Scripting settings for the internet zone, although as aresult, many web pages will no longer function. As the flaw can betraced to Microsoft's mshtml.dll library, it is unlikely that otherbrowsers are affected

(djwm)

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Tags: công nghệ tin học, khác, security