• Thứ Hai, 23/03/2009 17:47 (GMT+7)

    Bản IE8 mới nhất vẫn bị lỗi

    Chỉ vài giờ trước khi Microsoft tung mã cuối cùng cho trình duyệt IE8, hôm 18/3/2009 tại cuộc thi PWN2OWN, nhà nghiên cứu bảo mật Nils đã khai thác được lỗ hổng mới này.

    Nils là sinh viên ngành khoa học máy tính ở Đức, đã đột nhập được vào chiếc MTXT Sony Vaio trong vài phút nhờ khai thác một lỗ hổng chưa từng được biết trước đây của trình duyệt mới. Theo ông Terri Forslof, người quản lý đội phản ứng nhanh với các tình huống bảo mật của chi nhánh TippingPoint thuộc 3Com (là đơn vị tài trợ cho cuộc thi PWN2OWN), chiếc MTXT Sony Vaio bị thâm nhập đang chạy một bản build gần đây của HĐH Windows 7.

    Đầu ngày 19/3/2009, Microsoft đã tung ra phiên bản cuối cùng của IE8 cho Windows XP, Vista, Server 2003 và Server 2008. Tuy nhiên, bản cuối cùng của Windows 7 vẫn chưa được công bố công khai.

    TippingPoint đã mua bản quyền và quyền khai thác lỗ hổng khi trao giải tại cuộc thi PWN2OWN. Trong vòng 5 phút sau khi Nils tấn công IE8 thành công, TippingPoint đã cung cấp thông tin chi tiết và mã cho ông Mike Reavey, người quản lý đội Microsoft Security Research Center (MSRC) cũng đang có mặt tại cuộc thi PWN2OWN của hội nghị bảo mật CanSecWest, diễn ra từ ngày 16-20/3/2009 ở Vancouver, British Columbia (Canada).

    Microsoft từ chối xác nhận về lỗ hổng và nói, bản IE8 bị tấn công hôm 18/3/2009 không phải là bản RTM được phát hành ngày 19/3/2009.

    Ngoài IE8, Nils còn tấn công các trình duyệt Apple Safari, Mozilla Firefox và được TippingPoint thưởng tổng cộng 15.000 USD tiền mặt cùng chiếc MTXT Sony Vaio.

    Bạch Đình Vinh
    Theo Computerworld, 19/3/2009

    ID: O0903_1