Chủ Nhật, 4 tháng 5, 2014

Xuất hiện lỗ hổng Covert Redirect, bản sao của "Trái tim rỉ máu"

Xuất hiện lỗ hổng Covert Redirect, bản sao của "Trái tim rỉ máu"

Một nghiên cứu sinh tại trường Đại học Công nghệ Nanyang (Singapore) vừa phát hiện một lỗ hổng bảo mật tồn tại trong phần mềm mã nguồn mở đang được rất nhiều website sử dụng.


Thông tin mới nhất cho thấy lỗ hổng này ảnh hưởng đến cả Google, Facebook, Microsoft, LinkedIn, PayPal và một số công ty lớn khác.


Xuất hiện lỗ hổng Covert Redirect, bản sao của "Trái tim rỉ máu"


Wang Jing, nghiên cứu sinh tiến sĩ tại Đại học Công nghệ Nanyang là người phát hiện ra lỗ hổng đang tồn tại trong công cụ đăng nhập mã nguồn mở OAuth và OpenID. Wang Jing gọi lỗ hổng này là "Covert Redirect" (tạm dịch là Bí mật chuyển hướng). Hacker có thể gài mã độc ẩn dưới dạng một cửa sổ pop-up, hiện ra khi người dùng đăng nhập vào một website có lỗ hổng. Chẳng hạn như khi người dùng gõ địa chỉ Facebook, một cửa sổ pop-up hiện ra yêu cầu điền tên đăng nhập và mật khẩu. Nếu người dùng đưa thông tin vào thì những thông tin ấy sẽ "bí mật chuyển hướng" đến hacker.


Thông thường, hacker hay sử dụng một đường link website giả mạo để lừa người dùng truy cập vào. Nhưng với lỗ hổng "Bí mật chuyển hướng", tin tặc có thể dùng chính địa chỉ website thật để moi thông tin mà không cần phải tạo ra một đường link giả mạo.


Wang Jing cho biết anh đã liên hệ với Facebook để thông báo về lỗ hổng nói trên, và câu trả lời mà anh nhận được là: "Chúng tôi đã nhận thức được nguy cơ tồn tại trong OAuth 2.0. Việc chữa lỗi này không thể thực hiện trong một sớm một chiều".


Facebook không phải là website duy nhất bị ảnh hưởng. Wang cũng đã liên hệ với Google, LinkedIn và Microsoft để nghe câu trả lời. Google, vốn đang sử dụng phần mềm OpenID, đã thông báo với anh rằng lỗ hổng này đang được họ xem xét. Còn Microsoft cho biết hãng này đang tiến hành điều tra về các điểm yếu trong hệ thống, tuy nhiên lỗ hổng nói trên nằm trong máy chủ tên miền của bên thứ ba, không phải trên website của Microsoft.


PayPal cũng nằm trong danh sách mà Wang đưa ra. Trong một thông cáo đăng trên blog, hãng này cho biết: "Khi sử dụng OAuth 2.0/OpenID, chúng tôi đã thiết kế các biện pháp bảo mật bổ sung. Những biện pháp này giúp chúng tôi bảo vệ khách hàng trước các lỗ hổng tiềm tàng". Tuy nhiên, PayPal từ chối tiết lộ cụ thể về các biện pháp bảo mật mà hãng này áp dụng.


Xuất hiện lỗ hổng Covert Redirect, bản sao của "Trái tim rỉ máu"


Theo Wang, để tránh nguy cơ bị mất thông tin, người sử dụng nên cảnh giác khi truy cập vào một website mà hiện ra cửa sổ pop-up yêu cầu đăng nhập Facebook hoặc Google. Người sử dụng nên đóng cửa sổ này ngay lập tức để tránh nguy cơ thông tin cá nhân bị "bí mật chuyển hướng".



Người đăng: vào lúc

Không có nhận xét nào:

Đăng nhận xét

Đăng ký: Đăng Nhận xét (Atom)

TƯ VẤN PHÁP LUẬT THƯỜNG XUYÊN

TƯ VẤN PHÁP LUẬT TƯ VẤN PHÁP LUẬT THƯỜNG XUYÊN khi kinh tế của đất nước ngày càng phát triển, các doanh nghiệp Việt Nam đã quan tâm hơn đến việc sử dụng dịch vụ tư vấn pháp lý trong doanh nghiệp nhưng thông thường ở trong tình trạng “mất bò mới lo làm chuồng” tức là khi có những vấn đề nảy sinh mới mời các Công ty Luật đến tư vấn để giải quyết những tranh chấp, khiếu kiện do vậy thường để lại cho Doanh nghiệp những hậu quả khôn lường cho Doanh nghiệp. Trước đây trong các Công ty lớn của nhà nước hay các công ty nước ngoài tại Việt Nam có riêng một ban pháp chế hay phòng pháp Luật hay chí ít là một chuyên viên pháp lý để xem xét các vấn đề pháp lý hoặc liên quan đến pháp lý. Tuy nhiên, chi phí để duy trì một cơ cấu như vậy không phải là nhỏ chưa kể là chưa làm thỏa mãn hết các nhu cầu của doanh nghiệp. Vì trên thực tế một luật sư không thể biết được hết tất cả các lĩnh vực để có thể tư vấn cho doanh nghiệp, do vậy vẫn cần phải sử dụng hoặc hợp tác với một công ty luật nào đó. Ngoài ra để duy trì một phòng pháp chế như thế thì chi phí không nhỏ. Khi ký Hợp đồng tư vấn pháp luật Thường xuyên doanh nghiệp không phải mất chi phí lương và chỗ làm việc cho một luật sư mà vẫn được sử dụng dịch vụ tư vấn pháp lý từ văn phòng luật sư. Hơn nữa, một văn phòng luật sư thường có nhiều luật sư, tham gia nhiều vụ việc, từ đó có thể cung cấp một dịch vụ hoàn hảo hơn. Với việc xác định phương hướng hoạt động của Công ty “Hong Duc & Partners - Luật của doanh nghiệp”, Công ty Hong Duc & Partners là doanh nghiệp hoạt động tư vấn pháp luật chuyên sâu trong lĩnh vực doanh nghiệp khuyên các doanh nghiệp nên thực hiện phương trâm “Phòng bệnh hơn chữa bệnh”. Đó là việc các doanh nghiệp nên ký Hợp đồng tư vấn thường xuyên với một Công ty luật để được Tư vấn Pháp Luật Thường xuyên trong hoạt động kinh doanh của mình, phòng ngừa những rủi ro, tổn thất trong hoạt động kinh doanh do doanh nghiệp “mù luật”, không hiểu luật đảm bảo được tối đa quyền và lợi ích hợp pháp của doanh nghiệp. Share this: