Công bố lỗi bảo mật trên MSN và Amazon

  •  
  • 96

Tức giận về thái độ thờ ơ và thiếu trách nhiệm của Microsoft và Amazon, một chuyên gia nghiên cứu bảo mật đã công bố chi tiết các lỗi bảo mật tồn tại trên trang web của hai hãng này.

Yash Kadakia - một chuyên gia nghiên cứu bảo mật độc lập - là người đã phát hiện ra những lỗi bảo mật này.

Theo chuyên gia nghiên cứu này, những lỗi bảo mật này có thể bị tin tặc khai thác để ăn cắp các tệp tin dữ liệu cookies cho phép chúng đoạt quyền truy cập vào các tài khoản trên trang web Amazon.com và MSN.com hoặc cho hiển thị một trang web đăng nhập giả mạo phục vụ mục đích tấn công lừa đảo trực tuyến.

Những lỗi bảo mật do chuyên gia nghiên cứu Kadakia phát hiện đều là những lỗi tấn công kịch bản liên trang (cross-site scripting). Đây là những lỗi bảo mật được đánh giá là có mức độ nguy hiểm không cao.

Lỗi bảo mật trên MSN bị Kadakia khai thác


Nhưng những cuộc tấn công thử nghiệm của chuyên gia này lại sử dụng một kỹ thuật có tên CRLF (Carriage Return Line Feed) Injection. Kỹ thuật này có thể được sử dụng trong những cuộc tấn công nguy hiểm và có phạm vi ảnh hưởng rộng hơn.

Kadakia cho biết đã thông báo lỗi bảo mật này cho Microsoft khoảng một năm trước đây. Tương tự, lỗi bảo mật trên trang Amazon.com dù đã được phát hiện từ tháng 12 năm ngoái nhưng đến nay vẫn chưa được khắc phục. Chính vì thế mà cuối tuần qua, chuyên gia nghiên cứu bảo mật độc lập này đã quyết định làm cho vấn đề trở nên nghiêm trọng hơn khi quyết định công bố hình ảnh những lỗi bảo mật trên bị khai thác trên trang web cá nhân. Có thể động thái này của Kadakia là nhằm mục đích thu hút sự chú ý của hai hãng Microsoft và Amazon khiến họ phải khắc phục những lỗi bảo mật nói trên.

Lỗi bảo mật trên Amazon bị Kadakia khai thác


Ngay sau đó, một người phát ngôn của Microsoft cho biết hãng này hiện đang điều tra thêm về lỗi bảo mật do Kadakia phát hiện. Trong khi đó, Amazon chưa có bất kỳ một lời bình luận chính thức nào.

Nhưng Kadakia cho biết cả Amazon và Microsoft đang cho khắc phục những lỗi bảo mật nói trên.

Những lỗi bảo mật web tương tự như những lỗi do chuyên gia Kadakia phát hiện đã tồn tại và được phát hiện trên Internet từ lâu.Tuy nhiên, tin tặc lại chú ý nhiều đến việc khai thác các lỗi bảo mật trong hệ điều hành. Nhưng giờ đây khi các lỗi bảo mật trong hệ điều hành ngày một khó bị phát hiện, tin tặc đã bắt đầu quay trở lại tìm kiếm trên những phương diện mới, trong đó có ứng dụng web. Và ngày càng có nhiều lỗi bảo mật web được phát hiện hơn nữa.

Mới đầu tháng này, một con sâu máy tính đã tấn công mạnh mẽ vào máy chủ dịch vụ thư điện tử trên web của Yahoo. Với tên gọi JS.Yamanner@m, con sâu này chưa gây ra thiệt hại trên diện rộng nhưng bản thân nó cũng đã thu hút được sự chú ý tới những lỗi bảo mật ứng dụng web.

Sự phản ứng chậm chạp của Microsoft và Amazon cho thấy những lỗi bảo mật web vẫn chưa nhận được sự quan tâm thích đáng. Những lỗi bảo mật tồn tại trên những trang web được xem là tốt nhất thế giới.

Hoàng Dũng
Theo Computerworld, VnMedia
  • 96