Phát hiện lỗ hổng an ninh mạng mới trên giao thức Open SSL

Các nhà nghiên cứu của đã phát hiện một lỗ hổng bảo mật trong giao thức web Open SSL hiện đang được sử dụng phổ biến trên thế giới.

Trong một nghiên cứu được công bố hôm 14/10 trên trang web của Dự án , ba chuyên gia nghiên cứu của Google cho biết lỗ hổng này nằm ở giao thức mã hóa SSL 3.0 0 đã có từ 18 năm nay nhưng vẫn đang được sử dụng rộng rãi trong các trình duyệt và website. Tin tặc có thể lợi dụng lỗ hổng bảo mật này để lấy cắp dữ liệu khi chúng thực hiện một cuộc tấn công có tên gọi “Poodle.”

tin-tuc-15-10-19

Theo chuyên gia Jeff Moss, nhà sáng lập diễn đàn thảo luận về tin tặc Def Con và là cố vấn Bộ An ninh Nội địa Mỹ, thông qua lỗ hổng trên, tin tặc có thể đánh cắp “cookies” duyệt web, từ đó kiểm soát các tài khoản thư điện tử, mạng xã hội và ngân hàng.

Tuy nhiên, để làm được điều này là tương đối phức tạp vì tin tặc cần có “quyền ưu tiên” trên mạng. Cách thức phổ biến nhất là thiết lập một “hot spot” (điểm truy cập) WiFi giả trong quán càphê có kết nối Internet.

Mặc dù đánh giá lỗ hổng mới trên Open SSl này sẽ không gây hậu quả nghiêm trọng như hai lỗ hổng “Heartbleed” và “Shellshock” được phát hiện trước đó, nhưng các chuyên gia cũng khuyến cáo doanh nghiệp và các cá nhân sử dụng máy tính nên tắt SSL 3.0 trên máy chủ và trình duyệt nhằm ngăn chặn tin tặc có thể lợi dụng lỗ hổng này để đánh cắp thông tin.

Phát hiện này được công bố trong bối cảnh có nhiều lời đồn đoán về một lỗ hổng bảo mật mới trong phần mềm OpenSSL đang được lan truyền trên Twitter và các trang tin tức về công nghệ, buộc các chuyên gia của các công ty tăng cường siết chặt an ninh nhằm sẵn sàng ứng phó với các cuộc tấn công mới.

Trước đó, hồi tháng Tư vừa qua, các doanh nghiệp và tổ chức lớn trên thế giới đã phải đối phó với lỗ hổng “Heartbleed” trong OpenSSL, gây ảnh hưởng tới khoảng 2/3 trang web trên toàn thế giới. Tiếp đó, hồi tháng Bảy, các chuyên gia cũng đã phát hiện lỗ hổng “Shellshock” (hay được biết đến với tên gọi Bash) trên hệ điều hành sử dụng nền tảng Unix, cho phép tin tặc có thể xâm nhập và kiểm soát hệ thống máy tính từ xa./.

Theo: Vietnamplus

Bài viết liên quan