Hôm 20/11/2009, mã đã được công bố trên mailing-list Bugtraq. Theo nhà sản xuất bảo mật Symantec, mã có thể bị sử dụng để cài đặt phần mềm trái phép lên những máy tính đang chạy IE6, IE7. Symantec tin rằng, mã tấn công có đầy đủ chức năng sẽ được tung ra trong tương lai gần.
Công ty tư vấn bảo mật Vupen Security cũng xác nhận, tấn công sẽ xảy ra trên hệ thống cài Windows XP Service Pack 3 và đang chạy IE6 hoặc IE7. Chưa công ty nào phát hiện ra tấn công được tin tặc thực hiện nhờ khai thác lỗi trên nhưng nguy cơ là rất cao vì IE6 và IE7 chiếm tới hơn 41% thị phần trình duyệt.
Hôm 20/11/2009, Microsoft đã xác nhận, lỗi chỉ ảnh hưởng tới IE6, IE7 mà không ảnh hưởng tới IE8. Microsoft từ chối cho biết kế hoạch vá lỗi của mình
Lỗi nằm trong cách IE lấy về các đối tượng CSS (Cascading Style Sheet) nào đó. Để tấn công xảy ra, tin tặc phải lừa nạn nhân ghé thăm trang web có chứa mã JavaScript “độc”. Công ty Secunia (Đan Mạch) đánh giá lỗi là “nghiêm trọng cao”.
Để giảm thiểu nguy hiểm, người dùng IE6 và IE7 nên tắt JavaScript bằng cách: mở menu "Tools" trong IE, bấm vào "Internet Options", chọn tab "Security" và "Internet" content zone. Tiếp theo, bấm vào "Custom Level" và trong hộp "Settings", bấm vào "Disable" dưới "Active scripting".
Bạch Đình Vinh
Theo IDG News Service, Computerworld, 23/11/2009
Facebook
Twitter
Myspace
Digg
del.icio.us
