WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Microsoft vá lỗi FREAK và Universal XSS
Microsoft vừa phát hành bản vá định kỳ tháng 3 trong đó vá 2 lỗi nghiêm trọng là FREAK và Universal XSS.
Windows và các sản phẩm khác của Microsoft nhận được nhiều bản cập nhật mới, trong đó không chỉ có bản vá lỗi dành cho phiên bản mới của dạng tấn công shortcut Stuxnet mà còn gồm bản vá cho 2 lỗ hổng nghiêm trọng gồm: một lỗi trong cách xử lý các kết nối an ninh của hệ điều hành và một lỗi trên Internet Explorer.
Đầu tiên là bản vá cho lỗi FREAK cho phép kẻ xấu lừa phần mềm sử dụng mã hóa yếu. Ban đầu, Windows được cho là miễn nhiễm trước các cuộc tấn công, tuy nhiên chỉ vài ngày sau khi lỗ hổng này được công bố, Microsoft cho biết phần mềm của mình cũng có thể bị tấn công.
Bản vá thứ 2 dành cho lỗi được công bố trong tháng 2 cho phép một trang web chứa mã độc truy cập nội dung từ bất kỳ một trang web nào khác. Lỗi này cho phép hacker đánh cắp cookies hoặc thông tin đăng nhập vào các website ngân hàng. Kiểu lỗi này thường phát sinh từ sai sót trong bước lập trình website, nhưng trong trường hợp này nguyên nhân lại là từ lỗ hổng trình duyệt, do đó có thể bị lợi dụng để tấn công vào bất kỳ site nào. Lỗ hổng được đặt tên "universal XSS" (cross site scripting) do có thể bị lợi dụng trên phạm vi rộng.
Bản vá cho trình duyệt Internet cũng đã sửa lỗi này.
Windows và các sản phẩm khác của Microsoft nhận được nhiều bản cập nhật mới, trong đó không chỉ có bản vá lỗi dành cho phiên bản mới của dạng tấn công shortcut Stuxnet mà còn gồm bản vá cho 2 lỗ hổng nghiêm trọng gồm: một lỗi trong cách xử lý các kết nối an ninh của hệ điều hành và một lỗi trên Internet Explorer.
Đầu tiên là bản vá cho lỗi FREAK cho phép kẻ xấu lừa phần mềm sử dụng mã hóa yếu. Ban đầu, Windows được cho là miễn nhiễm trước các cuộc tấn công, tuy nhiên chỉ vài ngày sau khi lỗ hổng này được công bố, Microsoft cho biết phần mềm của mình cũng có thể bị tấn công.
Bản vá thứ 2 dành cho lỗi được công bố trong tháng 2 cho phép một trang web chứa mã độc truy cập nội dung từ bất kỳ một trang web nào khác. Lỗi này cho phép hacker đánh cắp cookies hoặc thông tin đăng nhập vào các website ngân hàng. Kiểu lỗi này thường phát sinh từ sai sót trong bước lập trình website, nhưng trong trường hợp này nguyên nhân lại là từ lỗ hổng trình duyệt, do đó có thể bị lợi dụng để tấn công vào bất kỳ site nào. Lỗ hổng được đặt tên "universal XSS" (cross site scripting) do có thể bị lợi dụng trên phạm vi rộng.
Bản vá cho trình duyệt Internet cũng đã sửa lỗi này.
Nguồn: ArsTechnica
Chỉnh sửa lần cuối bởi người điều hành: