Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng mới trên OpenSSL ít nguy hiểm hơn Heartbleed
Trong khi các chuyên gia bảo mật vẫn đang phải nỗ lực vá lỗi OpenSSL Heartbleed hiện còn đe dọa 12.000 tên miền phổ biến trên thế giới, thì ngày hôm qua (05/06/2014), OpenSSL Foundation đã đưa ra cảnh báo về một lỗ hổng tồn tại trên phần mềm này trong cả thập kỷ, cho phép tin tặc tiến hành tấn công MITM (man-in-the-midle).
Cụ thể, kẻ xấu có thể lợi dụng lỗ hổng mới phát hiện trên OpenSSL để chặn kết nối đã được mã hóa, giải mã kết nối và xem chi tiết, thậm chí là thay đổi gói tin.
Người sử dụng OpenSSL được khuyên nên cập nhật bản vá mới nhất của phần mềm. Lỗ hổng được phát hiện đầu tiên bởi Masashi Kikuchi, chuyên gia nghiên cứu Nhật Bản của công ty phần mềm Lepidum.
Không giống như Heartbleed có thể bị khai thác trực tiếp trên bất kỳ server nào sử dụng OpenSSL, để khai thác lỗ hổng mới, tin tặc bắt buộc phải đứng giữa kết nối của 2 máy tính. Người dùng wifi công cộng tại sân bay là một ví dụ về đích nhắm của tin tặc. Như vậy xét về quy mô và điều kiện khai thác, lỗ hổng này ít nguy hiểm hơn HeartBleed.
Lỗ hổng này tồn tại trên OpenSSL từ khi phần mềm này được ra mắt vào năm 1998, tức là “có thâm niên” hơn Heartbleed đến 10 năm.
Việc một lỗ hổng tồn tại trên phần mềm trong suốt một quãng thời gian dài như vậy mà không bị phát hiện là một vết nhơ nữa trong quản lý của OpenSSL. OpenSSL là phần mềm mã nguồn mở, bất cứ ai cũng có thể xem xét và cập nhật, đồng nghĩa với việc được đánh giá là an toàn và đáng tin cậy hơn so với phần mềm chỉ được cập nhật bởi nhân viên kỹ thuật của một công ty riêng lẻ nào đó. Tuy nhiên, trên thực tế, OpenSSL chỉ có một nhân viên phát triển full-time và 3 lập trình viên tình nguyện tại châu Âu và hoạt động trên quỹ ngân sách đóng góp là 2.000 đô la Mỹ mỗi năm. Trong khi đó, OpenSSL được sử dụng để mã hóa hầu hết các web server trên thế giới, và được sử dụng rộng rãi bởi các công ty công nghệ như Amazon, Cisco.
Cụ thể, kẻ xấu có thể lợi dụng lỗ hổng mới phát hiện trên OpenSSL để chặn kết nối đã được mã hóa, giải mã kết nối và xem chi tiết, thậm chí là thay đổi gói tin.
Người sử dụng OpenSSL được khuyên nên cập nhật bản vá mới nhất của phần mềm. Lỗ hổng được phát hiện đầu tiên bởi Masashi Kikuchi, chuyên gia nghiên cứu Nhật Bản của công ty phần mềm Lepidum.
Không giống như Heartbleed có thể bị khai thác trực tiếp trên bất kỳ server nào sử dụng OpenSSL, để khai thác lỗ hổng mới, tin tặc bắt buộc phải đứng giữa kết nối của 2 máy tính. Người dùng wifi công cộng tại sân bay là một ví dụ về đích nhắm của tin tặc. Như vậy xét về quy mô và điều kiện khai thác, lỗ hổng này ít nguy hiểm hơn HeartBleed.
Lỗ hổng này tồn tại trên OpenSSL từ khi phần mềm này được ra mắt vào năm 1998, tức là “có thâm niên” hơn Heartbleed đến 10 năm.
Việc một lỗ hổng tồn tại trên phần mềm trong suốt một quãng thời gian dài như vậy mà không bị phát hiện là một vết nhơ nữa trong quản lý của OpenSSL. OpenSSL là phần mềm mã nguồn mở, bất cứ ai cũng có thể xem xét và cập nhật, đồng nghĩa với việc được đánh giá là an toàn và đáng tin cậy hơn so với phần mềm chỉ được cập nhật bởi nhân viên kỹ thuật của một công ty riêng lẻ nào đó. Tuy nhiên, trên thực tế, OpenSSL chỉ có một nhân viên phát triển full-time và 3 lập trình viên tình nguyện tại châu Âu và hoạt động trên quỹ ngân sách đóng góp là 2.000 đô la Mỹ mỗi năm. Trong khi đó, OpenSSL được sử dụng để mã hóa hầu hết các web server trên thế giới, và được sử dụng rộng rãi bởi các công ty công nghệ như Amazon, Cisco.
Nguồn: NYTimes
Chỉnh sửa lần cuối bởi người điều hành: