• Thứ Hai, 26/11/2007 07:57 (GMT+7)

    Có thể khai thác lỗ hổng Firefox để hack Gmail

    Lỗ hổng cho phép “tiêm” mã có ác ý vào trình duyệt, để lộ các tài khoản Google của người dùng.

    Mozilla lại bị một “cú đòn” bảo mật khác khi phát hiện ra rằng, các tài khoản Google có thể bị truy cập nhờ khai thác một lỗ hổng Firefox nguy hiểm.

    Lỗ hổng được website gnucitizen.org phát hiện ra đầu tiên, cho phép hacker truy cập các tài khoản Google (trong đó có Gmail) bằng các vụ tấn công kịch bản chéo trang (cross-site scripting attack).

    Có thể khai thác lỗ hổng cả ở phía client lẫn phía server khi đưa mã khai thác vào các file .zip định dạng tài liệu mở (của bộ Microsoft Office 2007 và OpenOffice), sau đó upload lên máy chủ mà giao thức JAR của Firefox rút ra và nén dữ liệu.

    Theo gnucitizen.org, các nền tảng bị ảnh hưởng có phạm vi từ trình webmail client, các hệ thống chia sẻ tài liệu và cộng tác, nhiều ứng dụng Web 2.0 khác của những nhà sản xuất phần mềm lớn (trong đó có Google, Microsoft).

    Bedford.org phát hiện ra lỗi “302 redirect error” trong Google, tạo ra vụ tấn công kịch bản chéo trang trên toàn domain, cho phép hacker truy cập và sửa đổi các tài khoản Google (trong đó có e-mail, contact list, trạng thái online). Bedford.org đã tạo ra liên kết ví dụ, để lộ các contact list của người dùng Gmail.

    Trong khi Mozilla vẫn chưa đưa ra giải pháp cho vấn đề, các nhà quản trị web có thể dùng firewall, proxy server để ngăn chặn việc upload nội dung có ác ý. Người dùng có thể download add-on NoScript cho Firefox để bảo vệ mình.


    Bạch Đình Vinh
    Theo PC World Mỹ, 17/11/2007

    ID: O0711_1