Microsoft và Apple đều cuống quýt với hàng loạt lỗi trong trình duyệt web Internet Explorer và Safari khi cuộc thi hack Pwn2Own 2010 đang đến gần.
E ngại trước việc bị tin tặc công phá, Apple tiến hành cập nhật cả 2 phiên bản Safari dành cho Mac OS X lẫn Windows trước khi diễn ra cuộc thi hack trình duyệt Pwn2Own 2010 với tổng giải thưởng lên đến 100.000 USD diễn ra vào ngày 24-3 tại hội nghị bảo mật CanSecWest.
|
Giao diện trình duyệt Apple Safari |
Phiên bản Safari 4.0.5 khắc phục 16 lỗi bảo mật mà trong đó 12 lỗi được đánh giá ở mức nguy hiểm cao, có thể bị khai thác để chiếm quyền điều khiển máy tính nạn nhân cho dù là Mac hay máy tính sử dụng Windows.
Người dùng Safari có thể tải về các phiên bản Safari 4.0.5 trên nền tảng hệ điều hành Mac OS X 10.4 (Tiger), Mac OS X 10.5 (Leopard), Mac OS X 10.6 (Snow Leopard) tại đây và phiên bản Safari 4.0.5 cho Windows XP, Windows Vista và Windows 7 tại đây. |
Chín trong trong số 16 lỗi được vá xuất phát từ công cụ trình duyệt nguồn mở WebKit được dùng trong Safari.
Nhiều nhận định từ giới chuyên gia bảo mật cho rằng so với Internet Explorer, Mozilla FireFox hay Google Chrome thì Apple Safari sẽ là một trong những trình duyệt “gục ngã” đầu tiên trong cuộc thi nhắm tới các trình duyệt web. Vào năm 2008 và 2009, một số lỗi bảo mật chưa được vá trong trình duyệt Safari là nguyên nhân mà hacker Charlie Miller đã khai thác để thâm nhập vào Macbook Air chỉ sau vào phút và nhận được số tiền thưởng của cuộc thi.
Hiện Safari tụt xuống vị trí thứ 4 sau khi bị Chrome qua mặt trong bảng xếp hạng các trình duyệt web hàng đầu do Hãng NetApplications.com công bố.
Mã khai thác lỗi IE bị phát tán, Microsoft phát hành công cụ “chữa cháy”
Mã khai thác lỗ hổng bảo mật trong phiên bản trình duyệt Internet Explorer 6 và 7 đang bị phát tán qua mạng bảo mật Metasploit. Lỗi được khám phá bởi Moshe Ben Abu, một chuyên viên bảo mật người Israel.
Phiên bản IE6 không còn được đề nghị sử dụng vì chứa nhiều lỗi, cơ chế bảo mật không tốt trong khi IE8 nhận được nhiều phản hồi tích cực về chế độ bảo vệ so với 2 “tiền bối” IE6 và IE7. |
Theo thông tin từ Metasploit, lỗi ảnh hưởng đến trình duyệt IE7 trên Windows VIsta SP2, IE6 và IE7 trên Windows XP SP3 nhưng chỉ khi nào tính năng DEP (Data Execution Protection) không được kích hoạt.
Hiện người dùng được Microsoft khuyến cáo chuyển sang sử dụng phiên bản trình duyệt Internet Explorer 8 bảo mật hơn để phòng tránh bị tấn công vào hệ thống thông qua các lỗi chưa được vá. Microsoft cũng phát hành một công cụ “chữa cháy” để khóa thành phần trong tập tin thư viện động “iepeers.dll” tại đây (chỉ dành cho Windows XP và Windows Server 2003) cho đến khi bản vá lỗi chính thức được phát hành theo định kỳ vào ngày 13-4.