Yichong Lin - Chuyên gia phân tích của Hãng bảo mật McAfee - cho biết thực chất lỗi XSS (cross-site scripting) trên đây là "một biến th��" khác của lỗi bảo mật đã được hai chuyên gia nghiên cứu bảo mật Manuel Caballero và Fukami công b�� tại Hội ngh�� bảo mật BlueHat do Microsoft t�� chức hồi đầu tháng.

Khi đó Caballero cho biết đã phát hiện một phương pháp cho phép ghi lại mọi hoạt động của trình duyệt - trong đó bao gồm c�� những thao tác nhập mật khẩu đăng nhập tài khoản trực tuyến.

Trong một đoạn video phỏng vấn Caballero do chính Microsoft thực hiện, chuyên gia nghiên cứu bảo mật này khẳng định nếu như hacker có th�� kết hợp Flash với lỗi bảo mật trên thì chúng có th�� chèn được mã độc vào PC người dùng cho phép chúng đoạt được quyền kiểm soát toàn b�� h�� thống.

Hãng bảo mật Secunia cho biết thông tin chi tiết v�� biến th�� lỗi bảo mật IE6 cũng như mã tấn công đã được cho xuất bản trên tạp chí bảo mật điện t�� bằng tiếng Trung Quốc có tên "Ph4nt0m Security Team".

Secunia cho biết lỗi bảo mật bắt nguồn t�� một lỗi x�� lý d�� liệu đầu vào khi trình duyệt phải x�� lý giá tr�� "location" trong thuộc tính đối tượng "location.href". Hacker có th�� lợi dụng lỗi này giúp chúng có th�� t�� xa điều khiển thực thi mã độc trực tiếp trên trình duyệt.

Internet Explorer 7 không mắc lỗi trên. Chính vì th�� mà các hãng bảo mật khuyến cáo người dùng nên nhanh chóng nâng cấp lên phiên bản trình duyệt này.

Yichong cho biết McAfee đã gửi cảnh báo cùng thông tin chi tiết v�� lỗi bảo mật nói trên cho Microsoft.