-
06/07/2013
-
797
-
1.308 bài viết
Google công bố lỗ hổng ảnh hưởng gần như toàn bộ Internet
Google và hãng Red Hat đã phát hiện một lỗ hổng bảo mật đặc biệt nghiêm trọng trong hệ thống tên miền DNS, khiến kẻ xấu có thể tấn công hàng trăm nghìn mục tiêu trên Internet mà chúng muốn.
Cụ thể, các kỹ sư Google và các nhà nghiên cứu Red Hat phát hiện lỗi DNS trong thư viện GNU C (glibc) và đã phối hợp với nhau để tạo bản vá. Dù bản vá đã được phát hành, việc vá lỗ hổng cũng phải mất hàng năm do mã lỗi đã được sử dụng rất từ lâu và rất phổ biến (từ tháng 5/2008).
Theo Telegraph, lỗi gây tràn bộ đệm này có thể ảnh hưởng đến các thiết bị chạy hệ điều hành Linux, tạo điều kiện cho kẻ tấn công kiểm soát từ xa hàng nghìn chủng loại thiết bị có kết nối Internet khác nhau như máy tính, smartphone, thiết bị định tuyến, camera, máy chủ, thiết bị IoT (máy giặt, camera an ninh...).
Lỗ hổng này cũng tác động tới các phần mềm Bitcoin hay bất cứ ứng dụng, dịch vụ nào sử dụng ngôn ngữ lập trình Python, PHP và Ruby on Rails, chẳng hạn các dịch vụ Dropbox, Facebook hay Twitter.
Chuyên gia bảo mật Dan Kaminsky cho hay lỗi này còn tồi tệ hơn cả lỗ hổng Heartbleed từng gây xôn xao năm 2014. Nguyên nhân là quá nhiều phần mềm Internet được xây dựng trên Linux và nếu kẻ tấn công có thể thâm nhập được vào mạng lưới của một doanh nghiệp, chúng có thể dễ dàng kiểm soát mọi hệ thống chạy Linux. Kaminsky khuyến cáo bất cứ ai đang điều hành máy chủ Linux cũng cần vá lỗ hổng tức thì.
Đầu tháng 4/2014, hãng bảo mật Codenomicon và Google Security cũng công bố lỗ hổng khác được gọi là HeartBleed (trái tim rỉ máu), một trong những lỗi bảo mật nghiêm trọng nhất từng được phát hiện, đe dọa sự an toàn của thanh toán trực tuyến toàn cầu. Lỗ hổng nằm trong OpenSSL, thư viện mà những website quan trọng thường dùng để mã hóa dữ liệu, như giao dịch ngân hàng, thương mại điện tử hay các dịch vụ e-mail…
Khi đó, chuyên gia Robert David Graham thống kê khoảng 600.000 máy chủ chứa lỗ hổng Heartbleed. Một đợt vá lỗi đã diễn ra ồ ạt nhưng giới bảo mật vẫn lo ngại bởi các website nhỏ có vẻ thờ ơ trước việc triển khai bản vá và khiến người sử dụng có nguy cơ bị mất thông tin như tên, mật khẩu, khóa bảo mật... khi giao dịch trên những site này.
Cụ thể, các kỹ sư Google và các nhà nghiên cứu Red Hat phát hiện lỗi DNS trong thư viện GNU C (glibc) và đã phối hợp với nhau để tạo bản vá. Dù bản vá đã được phát hành, việc vá lỗ hổng cũng phải mất hàng năm do mã lỗi đã được sử dụng rất từ lâu và rất phổ biến (từ tháng 5/2008).
Theo Telegraph, lỗi gây tràn bộ đệm này có thể ảnh hưởng đến các thiết bị chạy hệ điều hành Linux, tạo điều kiện cho kẻ tấn công kiểm soát từ xa hàng nghìn chủng loại thiết bị có kết nối Internet khác nhau như máy tính, smartphone, thiết bị định tuyến, camera, máy chủ, thiết bị IoT (máy giặt, camera an ninh...).
Lỗ hổng này cũng tác động tới các phần mềm Bitcoin hay bất cứ ứng dụng, dịch vụ nào sử dụng ngôn ngữ lập trình Python, PHP và Ruby on Rails, chẳng hạn các dịch vụ Dropbox, Facebook hay Twitter.
Thư viện GNU C Library (glibc) được sử dụng rộng rãi do đây là thành phần cốt lõi trong hầu hết các bản phân phối Linux nên việc vá lỗi sẽ mất vài năm.
Chuyên gia bảo mật Dan Kaminsky cho hay lỗi này còn tồi tệ hơn cả lỗ hổng Heartbleed từng gây xôn xao năm 2014. Nguyên nhân là quá nhiều phần mềm Internet được xây dựng trên Linux và nếu kẻ tấn công có thể thâm nhập được vào mạng lưới của một doanh nghiệp, chúng có thể dễ dàng kiểm soát mọi hệ thống chạy Linux. Kaminsky khuyến cáo bất cứ ai đang điều hành máy chủ Linux cũng cần vá lỗ hổng tức thì.
Đầu tháng 4/2014, hãng bảo mật Codenomicon và Google Security cũng công bố lỗ hổng khác được gọi là HeartBleed (trái tim rỉ máu), một trong những lỗi bảo mật nghiêm trọng nhất từng được phát hiện, đe dọa sự an toàn của thanh toán trực tuyến toàn cầu. Lỗ hổng nằm trong OpenSSL, thư viện mà những website quan trọng thường dùng để mã hóa dữ liệu, như giao dịch ngân hàng, thương mại điện tử hay các dịch vụ e-mail…
Khi đó, chuyên gia Robert David Graham thống kê khoảng 600.000 máy chủ chứa lỗ hổng Heartbleed. Một đợt vá lỗi đã diễn ra ồ ạt nhưng giới bảo mật vẫn lo ngại bởi các website nhỏ có vẻ thờ ơ trước việc triển khai bản vá và khiến người sử dụng có nguy cơ bị mất thông tin như tên, mật khẩu, khóa bảo mật... khi giao dịch trên những site này.
VNE