Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Đã có bản vá cho lỗ hổng nghiêm trọng trên OpenSSL
Ngày 09/07, OpenSSL đã đưa ra bản vá cho lỗ hổng nghiêm trọng trên một số phiên bản phần mềm đang được sử dụng phổ biến. Lỗ hổng được hãng đưa ra cảnh báo an ninh trước đó 5 ngày, cho phép tin tặc giả mạo xác thực để truy cập các website mã hóa, máy chủ email, và mạng riêng ảo.
Cụ thể, tin tặc có thể khai thác lỗ hổng trên ứng dụng người dùng cuối (end-user application) để vượt qua cơ chế xác thực trên ứng dụng bằng một TLS (transport layer security) hoặc SSL (secure sockets layer) giả mạo. Từ đó, thông qua giám sát kết nối giữa người dùng cuối và máy chủ, tin tặc có thể can thiệp, thậm chí chỉnh sửa dữ liệu trao đổi giữa hai bên.
Các chuyên gia cho biết, một khi giả mạo thành công, tin tặc có thể thực thi chứng thư đó cho bất kỳ trang web nào.
Các phiên bản bị ảnh hưởng từ lỗ hổng bao gồm 1.0.2c, 1.0.2b, 1.0.1n và 1.0.1o. Lỗ hổng có vẻ như được phát hiện và post lên Github từ ngày 27/1, tuy nhiên các phiên bản OpenSSL trước đó không tồn tại lỗ hổng.
Lỗ hổng được đánh giá nghiêm trọng bởi trong một số trường hợp cụ thể có thể cho phép tin tặc dễ dàng vượt qua xác thực mã hóa – cơ chế an ninh duy nhất của các website, máy chủ email và mạng riêng ảo.
May mắn là, lỗ hổng chỉ bị khai thác trên các trình duyệt hoặc ứng dụng người dùng cuối sử dụng một phiên bản có lỗ hổng của OpenSSL cho việc xác thực chứng thư. Các trình duyệt Google Chrome, Mozilla Firefox, Microsoft Internet explorer và Apple iOS sử dụng Boring SSL, Network Security Services (mới đây là libPKIX), SChannel, và Secure Transport nên không bị ảnh hưởng từ lỗ hổng. Theo chuyên gia Adam Langley của Google, một số phiên bản trình duyệt trên thiết bị di động của Android có sử dụng OpenSSL nhưng cũng không bị ảnh hưởng bởi lỗ hổng.
Tuy nhiên, một số ứng dụng cá nhân thường sử dụng mã xác thực. Điều này có nghĩa các ứng dụng này có thể ảnh hưởng bởi lỗ hổng ngay cả khi chạy trên các hệ điều hành kể trên. Sẽ mất vài ngày đến vài tuần cho các ứng dụng này xác định và vá lỗi. Trong khoảng thời gian đó, người dùng nên sử dụng trình duyệt web thay vì truy cập trực tiếp ứng dụng.
Khác với Heartbleed đã tồn tại hơn 2 năm trong các phiên bản sản phẩm chính thức của OpenSSL, mức độ ảnh hưởng của lỗ hổng mới hạn chế đáng kể vì được phát hiện trước khi đưa vào các ứng dụng phổ biến.
Người dùng và quản trị hệ thống đang sử dụng OpenSSL được khuyến cáo cập nhật lên các phiên bản mới 1.0.2d và 1.0.1p để không bị ảnh hưởng từ lỗ hổng.
Cụ thể, tin tặc có thể khai thác lỗ hổng trên ứng dụng người dùng cuối (end-user application) để vượt qua cơ chế xác thực trên ứng dụng bằng một TLS (transport layer security) hoặc SSL (secure sockets layer) giả mạo. Từ đó, thông qua giám sát kết nối giữa người dùng cuối và máy chủ, tin tặc có thể can thiệp, thậm chí chỉnh sửa dữ liệu trao đổi giữa hai bên.
Các chuyên gia cho biết, một khi giả mạo thành công, tin tặc có thể thực thi chứng thư đó cho bất kỳ trang web nào.
Các phiên bản bị ảnh hưởng từ lỗ hổng bao gồm 1.0.2c, 1.0.2b, 1.0.1n và 1.0.1o. Lỗ hổng có vẻ như được phát hiện và post lên Github từ ngày 27/1, tuy nhiên các phiên bản OpenSSL trước đó không tồn tại lỗ hổng.
Lỗ hổng được đánh giá nghiêm trọng bởi trong một số trường hợp cụ thể có thể cho phép tin tặc dễ dàng vượt qua xác thực mã hóa – cơ chế an ninh duy nhất của các website, máy chủ email và mạng riêng ảo.
May mắn là, lỗ hổng chỉ bị khai thác trên các trình duyệt hoặc ứng dụng người dùng cuối sử dụng một phiên bản có lỗ hổng của OpenSSL cho việc xác thực chứng thư. Các trình duyệt Google Chrome, Mozilla Firefox, Microsoft Internet explorer và Apple iOS sử dụng Boring SSL, Network Security Services (mới đây là libPKIX), SChannel, và Secure Transport nên không bị ảnh hưởng từ lỗ hổng. Theo chuyên gia Adam Langley của Google, một số phiên bản trình duyệt trên thiết bị di động của Android có sử dụng OpenSSL nhưng cũng không bị ảnh hưởng bởi lỗ hổng.
Tuy nhiên, một số ứng dụng cá nhân thường sử dụng mã xác thực. Điều này có nghĩa các ứng dụng này có thể ảnh hưởng bởi lỗ hổng ngay cả khi chạy trên các hệ điều hành kể trên. Sẽ mất vài ngày đến vài tuần cho các ứng dụng này xác định và vá lỗi. Trong khoảng thời gian đó, người dùng nên sử dụng trình duyệt web thay vì truy cập trực tiếp ứng dụng.
Khác với Heartbleed đã tồn tại hơn 2 năm trong các phiên bản sản phẩm chính thức của OpenSSL, mức độ ảnh hưởng của lỗ hổng mới hạn chế đáng kể vì được phát hiện trước khi đưa vào các ứng dụng phổ biến.
Người dùng và quản trị hệ thống đang sử dụng OpenSSL được khuyến cáo cập nhật lên các phiên bản mới 1.0.2d và 1.0.1p để không bị ảnh hưởng từ lỗ hổng.
Nguồn: Arstechnica, The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: