Một lỗ hổng bên trong phần mềm bảo mật Norton Antivirus, có liên quan đến ngôn ngữ lập trình ActiveX có thể gây ra những tai họa thật sự nghiêm trọng cho người dùng.

Nguồn: e-scape

Trong khi ấy, một hãng bảo mật khác là Secunia đã kịp "chấm điểm" cho lỗ hổng lần này là "cực kỳ nghiêm trọng", thang điểm cao nhất của hãng này.

Theo lời Symantec thì đây là một lỗi "xác thực dữ liệu nhập vào", có nghĩa là Norton đã không kiểm tra chính xác dữ liệu mà nó nhận được. Khi ấy, hacker có thể gửi câu lệnh đến cho máy tính mà Norton không phát hiện ra được.

Lỗ hổng này ảnh hưởng đến người dùng của Norton Antivirus 2006, Norton Internet Security và Norton System Works. Ngoài ra phiên bản Anti Spyware Edition cũng nằm trong diện bị tác động.

Symantec khuyến cáo người dùng nên chạy tính năng LiveUpdate của Norton càng sớm càng tốt để tải miếng vá về máy. Rất may là các phần mềm dành cho doanh nghiệp như AntiVirus Corporate Edition và Symantec Client Security không bị ảnh hưởng bởi lỗi này.

Tuy dạng lỗi lập trình ActiveX khá phổ biến song chúng vẫn cực kỳ nguy hiểm, ông Johannes Ullrich, Giám đốc nghiên cứu của Viện SANS cho biết. "Người ta đáng ra phải viết mã ActiveX một cách cẩn thận hơn".

Không ai rõ việc viết mã khai thác lỗ hổng mới dễ dàng đến mức nào, nhưng vì Norton là một sản phẩm rất phổ biến nên nguy cơ lần này nên được chú ý một cách nghiêm túc, ông Ullrich khuyến cáo.

3 tháng trước, một nhóm hacker đã phát hiện ra hàng loạt lỗi bên trong ActiveX và công bố mỗi ngày một lỗi trong cả tháng 5.

Theo PC World