Được phát hiện bởi nhà nghiên cứu bảo mật John Page, lỗ hổng đã được báo cáo cho nhóm bảo mật của Microsoft thông qua Chương trình Zero Day Initiative (ZDI) hơn 6 tháng trước, tuy nhiên mà gã khổng lồ công nghệ đã từ chối "vá", ít nhất là cho đến thời điểm hiện nay.
Lỗ hổng vCard có thể cho phép kẻ tấn công 'hack' máy tính của bạn |
Lỗ hổng này nằm trong quá trình xử lý các tập tin dạng vCard (một chuẩn lưu trữ nội dung là các danh thiếp điện tử). Theo nhà nghiên cứu, kẻ tấn công từ xa có thể tạo một loại tập tin vCard độc hại trong đó có trường URL sẽ được nhúng đến một script thực thi nội bộ trên máy tính. Nếu nạn nhân nhấp vào URL đó, hệ điều hành Windows sẽ chạy mã độc này mà không hiển thị bất kỳ cảnh báo nào, thay vì mở địa chỉ web trên trình duyệt.
"Dữ liệu được tạo ra trong tập tin vCard có thể khiến Windows tự chạy một đoạn mã nguy hiểm", nhà nghiên cứu viết. "Giao diện người dùng của Windows không cung cấp bất kỳ dấu hiệu nguy hiểm nào. Kẻ tấn công có thể tận dụng lỗ hổng này để thực thi mã ngay tại thời điểm hiện tại"
Mặc dù cuộc tấn công cần có sự tương tác của người dùng để khai thác lỗ hổng này trong đó mục tiêu phải nhấp vào liên kết truy cập độc hại nhưng việc không khắc phục được lỗ hổng sẽ tạo cơ hội cho những kẻ tấn công tinh vi nhắm mục tiêu vào người dùng Windows.
An Nhiên (theo The Hacker News)
Mã độc núp bóng selfie đánh cắp thông tin cá nhân người dùng
Hãng bảo mật McAfee đưa ra cảnh báo một loại phần mềm độc hại (malware) mới có khả năng lợi dụng thao tác chụp ảnh tự sướng để đánh cắp dữ liệu tài chính trên điện thoại Android.