Hàng loạt trình duyệt web mắc lỗi bảo mật

Hôm 06/06, rất nhiều các hãng bảo mật ra cảnh báo về một lỗ hổng bảo mật tồn tại trong một loạt trình duyệt web khác nhau có thể bị lợi dụng để ăn cắp thông tin.

Theo cảnh báo này, hàng loạt các loại trình duyệt web như Internet Explorer, Firefox, Mozilla và SeaMonkey vận hành trên nền tảng Windows, Linux và Mac đều bị ảnh hưởng bởi lỗ hổng lọc khoá JavaScript. Một kẻ tấn công chủ tâm có thể lợi dụng lỗ hổng này để ăn cắp các thông tin các nhân của người sử dụng như thông tin tài khoản tín dụng, ngân hàng trực tuyến ...

Riêng hãng bảo mật Symantec, cuối ngày hôm qua, đã cảnh báo mọi phiên bản trình duyệt Internet Explorer và Firefox đều bị ảnh hưởng bởi lỗ hổng bảo mật này.

"Vấn đề ở đây là một kẻ tấn công chủ tâm có thể lợi dụng sự kiện onKeyDown của ngôn ngữ lập trình máy khách JavaScript để ghi nhận mọi hoạt động bàn phím của người sử dụng," Symantec cảnh báo.

Chính vì thế mà kẻ tấn công có thể lợi dụng lỗ hổng bảo mật này để lọc ra những hoạt động bàn phím khi người sử dụng xử lý một form mẫu trên web đưa vào một hộp thoại tải tệp tin lên "vô hình" nằm trên chính trang web đó. Các thông tin ngay sau đó sẽ được gửi về cho kẻ tấn công.

"Để khai thác thành công lỗ hổng bảo mật này thì kẻ tấn công phải buộc người dùng phải nhập bằng tay toàn bộ đường dẫn đầy đủ của tệp tin mà chúng muốn tải xuống hoặc một số hoạt động bàn phím cụ thể từ phía nạn nhân. Chính vì thế mà lỗ hổng bảo mật có thể sẽ trở thành một công cụ tấn công hiệu quả những người chơi game trên web, blog hoặc những trang web tương tự cần phải có người dùng nhập thông tin từ bàn phím," Symantec cho biết.

Trong khi đó, hãng bảo mật Secunia chỉ xếp lỗ hổng bảo mật này vào mức độ "kém nghiêm trọng" - nấc thang thứ 2 từ dưới lên trong chiếc thang 5 bậc đo mức độ nguy hiểm của các lỗi bảo mật.

Đây là một lỗ hổng bảo mật không bình thường vì nó không chỉ ảnh hưởng đến riêng trình duyệt Internet Explorer - IE 6.0 được cài đặt đầy đủ các bản vá, thậm chí là cả IE 7.0 - mà còn cả Firefox hay một số trình duyệt của hãng khác như SeaMonKey. Nó cũng là lỗ hổng bảo mật đầu tiên ảnh hưởng đến các phiên bản trình duyệt trên một loạt các nền tảng khác nhau Windows, Linux, và Mac.

Charles McAuley - người đầu tiên đã phát hiện ra lỗ hổng bảo mật này và công bố thông qua danh sách email bảo mật Full Disclosure hôm 05/06 - đã công bố một đoạn mã được chứng minh là có đầy đủ khả năng khai thác lỗi bảo mật này.

Symantec khuyến cáo người sử dụng nên vô hiệu hoá tính năng JavaScript của trình duyệt.

Hoàng Dũng

Theo Informationweek, VnMedia
Danh mục

Công nghệ mới

Phần mềm hữu ích

Khoa học máy tính

Phát minh khoa học

AI - Trí tuệ nhân tạo

Khám phá khoa học

Sinh vật học

Khảo cổ học

Đại dương học

Thế giới động vật

Khoa học vũ trụ

Danh nhân thế giới

Ngày tận thế

1001 bí ẩn

Chinh phục sao Hỏa

Kỳ quan thế giới

Người ngoài hành tinh - UFO

Trắc nghiệm Khoa học

Khoa học quân sự

Lịch sử

Tại sao

Địa danh nổi tiếng

Hỏi đáp Khoa học

Y học - Sức khỏe

Môi trường

Bệnh Ung thư

Ứng dụng khoa học

Câu chuyện khoa học

Công trình khoa học

Sự kiện Khoa học

Thư viện ảnh

Video