 |
| Tin tặc có thể khai thác lỗi để lấy cắp dữ liệu |
- Các chuyên gia nghiên cứu bảo mật cho biết đã phát hiện một lỗi bảo
mật chết người trong Firefox có thể bị khai thác để ăn cắp dữ liệu của
người dùng Gmail và một số dịch vụ trực tuyến khác.
Theo các chuyên gia, lỗi nói trên liên quan quy trình
xử lý thủ tục “jar:” của Firefox. Thủ tục này đảm nhiệm chức năng giải
nén tệp tin ZIP. Tuy nhiên, trong quá trình xử lý thủ tục “jar:”
Firefox bỏ qua bước chứng thực MIME (Multipurpose Internet Mail
Extensions) nội dung chứa trong tệp tin ZIP. Qua đó cho phép tệp tin
được thực thi trực tiếp trên website lưu trữ.
Tin tặc có thể lợi dụng lỗi bảo mật này để tổ chức tấn
công XSS (cross-site scripting) ăn cắp dữ liệu người dùng trên bất kỳ
website nào cho phép người dùng tải lên mạng một số dạng tệp tin như
.zip hoặc .png.
Hãng bảo mật GNUCitizen cho biết các dịch vụ ứng dụng
trực tuyến cho phép tải lên mạng tệp tin JAR/ZIP cũng đều có nguy cơ bị
tấn công thông qua lỗi Firefox nói trên. Trong đó phải kể đến những
dịch vụ “tiềm năng rất hấp dẫn tin tặc” như thư điện tử trên web, chia
sẻ nội dung trực tuyến…
Hiện GNUCitizen đã phát hành mã khai thác chứng thực
khả năng tấn công thông qua lỗi Firefox nói trên. Sử dụng mã khai thác
này hãng bảo mật đã lấy được thông tin từ sổ địa chỉ liên lạc của một
tài khoản Gmail.
Hãng bảo mật Secunia khuyến cáo người dùng nên tránh
mở các liên kết "jar:" hoặc thiết lập tường lửa chặn mọi liên kết có
chứa thủ tục “jar:”. Hiện Mozilla chưa phát hành bất kỳ bản vá lỗi nào
để khắc phục lỗi này cho Firefox.
T.DŨNG (Theo Register)
(Theo TTO)