Cụ thể, trong bản tin cảnh báo bảo mật phát đi ngày 30/5, Nhóm phản ứng nhanh với các tình huồng bảo mật MSRC của Microsoft cho biết sở dĩ hãng phải đưa ra khuyến cáo trên bởi lỗi bảo mật trong Safari có thể được kết hợp với một lỗi bảo mật liên quan đến phương thức xử lý tệp tin thực thi (.exe) được đặt trên màn hình PC trong Windows XP hoặc Vista giúp tin tặc chiếm quyền điều khiển PC người dùng.
Lỗi Safari thực ra là lỗi đã được chuyên gia nghiên cứu bảo mật Nitesh Dhanjani tiết lộ hai tuần trước đây. Lỗi này bắt nguồn từ việc Safari không có cơ chế yêu cầu phải có sự chấp nhận của người dùng mới tải tệp tin về desktop PC. Tuy nhiên, Apple từ chối xem đây là một lỗi bảo mật.
Nếu kết hợp lỗi Safari trên với lỗi liên quan đến phương thức xử lý tệp tin thực thi (.exe) lưu trữ trên nền desktop thì tin tặc có quyền thực thi bất kỳ tệp tin nào ngay lập tức mà không cần phải có được sự cho phép của người dùng.
Microsoft khẳng định ngay cả Windows XP SP3, Windows Vista, Internet Explorer 6 và 7 đều mắc lỗi bảo mật trong việc xử lý tệp tin EXE. Nếu những PC này được cài đặt thêm trình duyệt Safari thì nguy cơ bị tấn công sẽ tăng lên rất nhiều. Chi tiết về các lỗi này hiện chưa được tiết lộ.
Chuyên gia nghiên cứu bảo mật Aviv Raff cho biết ông đã khuyến cáo Microsoft về khả năng tin tặc kết hợp lỗi bảo mật phần mềm hãng thứ ba với lỗi trong Windows để tấn công người dùng. Không chỉ có Safari mà còn khá nhiều phần mềm khác cũng có thể bị lợi dụng để tấn công theo phương thức đề cập ở trên.
“Giải pháp tốt nhất hiện nay là người dùng nên ngừng sử dụng trình duyệt Safari cho đến chừng nào Apple khắc phục đầy đủ lỗi trên đây. Cho dù Microsoft chủ động khắc phục lỗi thì người dùng Safari vẫn chưa hết nguy hiểm”.
Hiện cả Microsoft và Apple vẫn chưa tiết lộ kế hoạch cho khắc phục các lỗi bảo mật.
và quét mã QR
Bình luận (0)