Nguyen_HSU
Thanh viên kỳ cựu
Hai mạng xã hội lớn nhất hiện nay là MySpace và Facebook vừa tiến hành khắc phục các lỗi nguy hiểm trong mã lập trình mà tin tặc có thể khai thác qua Flash applet lưu trữ trên một máy chủ khác, để truy xuất đến toàn bộ dữ liệu lẫn hình ảnh của người dùng Facebook.
Lỗi nằm trong cách thức mà website mạng xã hội xử lý các yêu cầu về dữ liệu từ các tên miền (domain) khác. MySpace và Facebook thường khóa các tên miền khác khi chúng yêu cầu dữ liệu và nhận dữ liệu vì những lý do bảo mật, ngoại trừ các tên miền phụ (subdomain) của chính các mạng xã hội này. Những chính sách thiết lập này chứa đựng trong tập tin crossdomain.xml nằm ở thư mục gốc (root) của máy chủ.
Yvo Schaap, lập trình viên người Hà Lan, đã phát hiện một lỗ hổng lập trình có thể dùng để đánh cắp dữ liệu người dùng từ Facebook. Theo Schaap, người dùng có thể bị dẫn dụ vào một liên kết có chứa ứng dụng Flash được lập trình để lấy dữ liệu, nếu nạn nhân sử dụng chức năng tự động đăng nhập vào Facebook mà đại đa số thành viên Facebook đều kích hoạt. Khi ấy, với các thủ thuật khai thác, tin tặc có thể "thu hoạch" toàn bộ dữ liệu người dùng từ tin nhắn, hình ảnh, dữ liệu... chuyển sang một máy chủ khác mà khó lòng lần ra dấu vết.
Schaap cũng khám phá "gót chân Achilles" của MySpace khi mạng xã hội này cho phép tên miền "farm.sproutbuilder.com" truy xuất dữ liệu. Một ứng dụng Flash có thể được tải lên website đó để khai thác dữ liệu trái phép. Tuy nhiên, MySpace không đồng ý với thông tin trên, mạng xã hội này cho rằng những thông tin có thể bị khai thác chỉ là những thông tin đã xuất bản ra công cộng mà thôi. Vấn đề chính là tên miền "farm... com" đã được khắc phục. Chưa có dữ liệu nhạy cảm nào bị thất thoát.
Cả Facebook và MySpace đã nhanh chóng khắc phục lỗi trong lập trình liên quan đến chính sách tên miền.
Trình duyệt web cũng tranh nhau vá lỗi
Trình duyệt web nhanh nhất hiện nay là Chrome mắc phải lỗi nguy hiểm xuất phát từ bộ lõi Webkit khiến Google phải nhanh tay phát hành bản nâng cấp lên 3.0.195.32 cho Chrome 3.
Bằng những phương thức phức tạp, tin tặc có thể thực thi mã tùy ý trên máy tính nạn nhân thông qua những trục trặc giữa trình duyệt Chrome và plug-in Gears. Bản nâng cấp còn sửa chữa một số lỗi có mức độ trung bình như các cảnh báo bảo mật cho những loại tập tin như SVG, MHT hay XML có thể thực thi mã Javascript nhằm truy xuất tài nguyên cục bộ. Lỗi còn lại được xử lý là trục trặc với trình Adobe Reader 9.2 khiến nội dung không được hiển thị, tạo ra một vòng lặp làm bộ xử lý hoạt động ở mức tối đa.
Thông tin về bản nâng cấp cho Chrome có thể tham khảo tại đây. Người dùng Google Chrome 3 nên nâng cấp lên phiên bản mới nhất bằng cách chọn Tools - About Google Chrome - Update.
Phía bên kia chiến tuyến, FireFox cũng không khá gì hơn khi Mozilla phát hành bản nâng cấp FireFox 3.5.5 sau một thời gian ngắn ra mắt bản 3.5.4.
Năm là con số lỗi được khắc phục trong bản FireFox 3.5.5, một trong số đó có một lỗi tương đối quan trọng có liên quan đến chức năng giải mã ảnh GIF của FireFox. Các lỗi còn lại nằm trong cách thức xử lý font và khởi động của FireFox. Tuy không có lỗi bảo mật nguy hiểm nhưng Mozilla khuyến cáo người dùng nên nâng cấp lên phiên bản 3.5.5 mới nhất tại đâyFireFox 3.6 Beta 1 thử nghiệm tại đây.
Cuối cùng là Opera cũng bị cuốn theo vòng quay của các lỗi khi phiên bản Opera 10 vướng phải vài lỗi bảo mật nguy hiểm có thể bị khai thác thực thi mã độc trên máy tính nạn nhân. Các lỗi này ảnh hưởng đến tất cả phiên bản Opera 10 dành cho các hệ điều hành như Windows, Unix và Mac. Người dùng Opera 10 nên nâng cấp lên phiên bản khắc phục lỗi tạm thời tại đây.
Adobe Shockwave Player: cập nhật ngay bản vá quan trọng
Năm lỗi bảo mật quan trọng ảnh hưởng lên các phiên bản Adobe Shockwave Player 11.5.1.601 trở về trước đang đe dọa hơn 450 triệu máy tính trên toàn cầu đã cài đặt chương trình này. Adobe khuyến cáoShockwave Player 11.5.2.602 (bản dành cho Windows) để tránh bị tin tặc tấn công thực thi mã độc trên hệ thống hay tấn công từ chối dịch vụ.
Shockwave Player dùng để hiển thị các nội dung được tạo ra từ chương trình Adobe Director bao gồm cả Flash. Director có thể được sử dụng để tạo ra các hình ảnh ba chiều (3D), ảnh chất lượng cao hay nội dung số tương tác. Adobe Shockwave Player hay Adobe Flash Player là các ứng dụng được hầu hết máy tính trên thế giới cài đặt, nên các lỗ hổng bảo mật từ những ứng dụng này sẽ là khe hở để tin tặc khai thác tấn công vào các hệ thống mà thông thường là hệ điều hành Windows.
Bạn đọc nên thường xuyên cập nhật thông tin bảo mật để nâng cấp lên phiên bản mới nhất của những chương trình ứng dụng đã cài đặt trên máy tính của mình, nhằm tránh các nguy cơ bảo mật từ Internet, virus hay mã độc. Nếu có kết nối Internet thì nên kích hoạt chức năng tự động cập nhật có sẵn trong các chương trình.
TTO
Last edited by a moderator: