Bạn có đang sử dụng Internet Explorer? Nếu bạn là người dùng trung thành của trình duyệt này, hy vọng bạn đã cài đặt các bản cập nhật mới nhất từ Patch Tuesday vào đầu tuần. Tuy nhiên, ngay cả khi bạn đã cập nhật đầy đủ các bản vá mới nhất, thì trình duyệt của bạn vẫn có thể sẽ gặp phải một vấn đề nghiêm trọng dưới đây.
Spider.io, một công ty kinh doanh trong lĩnh vực giúp khách hàng phân biệt rõ giữa việc truy cập trang web từ người dùng thực tế và các truy cập từ các "bot" tự động, tuyên bố đã phát hiện ra một lỗ hổng ảnh hưởng đến chất lượng của Internet Explorer - trình duyệt hàng đầu hiện nay từ Microsoft, ở các phiên bản 6 đến 10. Lỗ hổng này dẫn đến việc nó sẽ thông báo mọi vị trí của con trỏ chuột trên màn hình, ngay cả khi IE đã được đưa về chế độ minimized.
Spider.io thông báo về các lỗ hổng của Microsoft vào ngày 1 tháng 10 năm 2012, nhưng nó đã không được đề cập đến trong bản cập nhật bảo mật mới nhất cho Internet Explorer. Spider.io khẳng định rằng lỗ hổng này đang được tích cực khai thác, và tuyên bố Microsoft Security Research Center (MSRC) đã phát hiện và thừa nhận sự xuất hiện của lỗ hổng này, nhưng không có kế hoạch ngay lập tức để sửa chữa nó.
Một lỗi trong IE có thể dẫn đến việc rò rỉ thong tin nhạy cảm
Khi Microsoft được hỏi về các lỗ hổng này, một phát ngôn viên đã gửi một thông báo chính thức: "Microsoft đang điều tra vấn đề này, nhưng cho đến nay không có báo cáo nào về việc lỗ hổng của IE đang bị khai thác cho các hoạt động trái phép và gây ảnh hưởng xấu đến khách hàng. Chúng tôi sẽ cung cấp thông tin bổ sung ngay khi nó xảy ra và sẽ có những hành động thích hợp để bảo vệ khách hàng của chúng tôi".
Jason Miller, giám đốc nghiên cứu và phát triển của VMware đã đặt ra một câu hỏi rằng: vấn đề này là một "lỗi" thực sự hay là một "tính năng" của IE. Người dùng cũng có thể đặt câu hỏi tương tự như trên, liệu đây có phải là một tính năng được tích hợp vào trình duyệt để giúp thiết lập các số liệu về cách sử dụng của người dùng IE? Tuy vậy, các nhà nghiên cứu đã chứng minh rằng "lỗ hổng" này có thể được sử dụng cho các mục đích phá hoại.
Wolfgang Kandek – giám đốc công nghệ của Qualys đã bày tỏ lo ngại về những tác động của lỗ hổng này đối với các ngân hàng trực tuyến. Nhiều ngân hàng hiện nay đã sử dụng bàn phím ảo để nhập các mã số tài khoản hay password, thay cho bàn phím thông thường, nhằm tránh việc bị khai thác thông tin bằng các phần mềm keylog truyền thống.
Andrew Storms, giám đốc điều hành bảo mật của nCircle cũng đồng tình với nhận định ở trên: "Lỗ hổng này có tác dụng giống như một logger dùng trên bàn phím ảo. Kẻ tấn công có thể nắm bắt thông tin của người dùng từ các thao tác nhấp chuột và đây thực sự không phải là tin tốt lành gì cho hơn 63 triệu người Mỹ đang sử dụng ngân hàng trực tuyến". Cũng có rất nhiều ý kiến cho rằng người dùng nên tạm thời không sử dụng IE – cho đến khi lỗ hổng ở trên được Microsoft sửa chữa.