• Thứ Bảy, 18/10/2014 19:57 (GMT+7)

    Các hãng trình duyệt lên kế hoạch chống POODLE

    Huy Thắng
    (PCWorldVN) Mozilla sẽ tắt tính năng SSL 3.0 vốn gây ra lỗi bảo mật POODLE trong phiên bản Firefox 34, trong khi Google và Microsoft vẫn chưa công bố thời gian cập nhật Chrome và IE.

    Ba nhà sản xuất trình duyệt hàng đầu thế giới vừa công bố họ sẽ đối phó với lỗ hổng bảo mật trong giao thức SSL 3.0 sau khi các nhà nghiên cứu tiết lộ rằng phương pháp tấn công "POODLE" (Padding Oracle On Downgraded Legacy Encryption) có thể ăn cắp thông tin được mã hóa và cookie của trình duyệt.

    Microsoft, Google và Mozilla vừa cho biết trình duyệt của họ - lần lượt là Internet Explorer, Chrome và Firefox - sẽ được xử lý lỗ hổng SSL 3.0 mà bọn tội phạm mạng có thể khai thác sử dụng để tấn công với cookie trong phiên làm việc. Các cookie bị đánh cắp sẽ cho phép tin tặc mạo danh nạn nhân, tự động đăng nhập vào các trang web, ví dụ như mua hàng trực tuyến, đọc email hoặc tải tập tin từ các dịch vụ lưu trữ đám mây.

    Mozilla đã công bố rõ ràng kế hoạch của họ. Một kỹ sư bảo mật của Mozilla cho biết trên một blog của hãng rằng, SSL 3.0 sẽ được tắt theo mặc định trong phiên bản trình duyệt Firefox 34 sắp được phát hành vào ngày 25/11 tới đây. Đoạn mã dùng để vô hiệu hóa giao thức này sẽ được cung cấp trong phiên bản Nightly, sau đó sẽ được đưa vào phiên bản Aurora và Beta trong vài tuần tới. Khoảng thời gian này được thiết kế để cho phép các nhà khai thác trang web đủ thời gian nâng cấp bất kỳ máy chủ nào vẫn còn sử dụng giao thức SSL 3.0.

    Cả 3 trình duyệt phổ biến đều sẽ được vá lỗi bảo mật POODLE.
    Nightly, Aurora và Beta, theo thứ tự tăng dần là tên mã của những phiên bản an toàn nhất được Mozilla tạo ra trước khi cung cấp đoạn mã Firefox chính thức cho một phiên bản cụ thể. Các phiên bản trình duyệt trên máy khách phải được cập nhật để vô hiệu hóa giao thức SSL 3.0, nhưng đồng thời các máy chủ web cũng phải được sửa đổi.

    Google là hãng đã công bố chi tiết của cuộc tấn công POODLE nhưng cho đến nay vẫn không cung cấp thời gian cụ thể cho việc vô hiệu hóa SSL 3.0 trong trình duyệt Chrome của họ. Đại diện của Google chỉ nói, trong những tháng tới, hãng hy vọng sẽ loại bỏ hỗ trợ SSL 3.0 hoàn toàn từ các sản phẩm máy khách của họ. Trình duyệt Chrome và các máy chủ của Google đã hỗ trợ một cơ chế được gọi là cho TLS_FALLBACK_SCSV (Signaling Cipher Suite Value) kể từ tháng Hai năm nay.

    Mozilla cũng sẽ hỗ trợ biện pháp SCSV trong trình duyệt Firefox 34 để ngăn chặn kẻ tấn công sử dụng SSL 3.0 như là một giao thức dự phòng.
    Chrome đã được cập nhật lên phiên bản 38 tuần trước, do đó phiên bản tiếp theo được tắt giao thức SSL 3.0 sẽ là 39. Theo dự đoán, Chrome 39 có thể xuất hiện trong nửa cuối tháng 11 tới đây hoặc cùng thời gian khi trình duyệt Firefox 34 được phát hành.

    Cũng giống như Google, Microsoft từ chối công bố lịch sửa lỗi hỗ trợ SSL 3.0 trong nền tảng Windows của hãng. Theo Microsoft, trình duyệt Internet Explorer được dựa trên các đoạn mã hóa trong hệ điều hành Windows thay vì nhúng các chức năng trong trình duyệt.

    Microsoft thừa nhận rằng, tất cả các phiên bản Windows hiện được Microsoft hỗ trợ đều thực thi giao thức này và sẽ bị ảnh hưởng bởi lỗ hổng này. Hãng sẽ có hành động thích hợp để bảo vệ khách hàng. Điều này có thể bao gồm việc cung cấp một bản cập nhật bảo mật thông qua quá trình phát hành hàng tháng hoặc cung cấp một cập nhật bảo mật trái chu kỳ, tùy thuộc vào nhu cầu của khách hàng. Theo lịch trình, bản cập nhật thường xuyên tiếp theo của Microsoft sẽ được tung ra vào ngày 11/11 sắp tới.