• Thứ Ba, 24/02/2009 15:05 (GMT+7)

    Website của Symantec “dính” lỗi SQL?

    Một tin tặc cho biết đã phát hiện lỗ hổng SQL Injection trên website của Symantec nhưng Symantec lại cho rằng, đó không phải là vấn đề bảo mật.

    Tuy nhiên, hôm 19/2/2009, Symantec vẫn tạm ngừng hoạt động phần website mà tin tặc Unu cáo buộc là “dính” lỗi. Đó là phần Document Download Center trên website Symantec, được bảo vệ bằng mật khẩu và là nơi các đối tác kênh có thể tải về (download) những tài liệu bán hàng cho nhiều sản phẩm của công ty. Symantec cho biết, không có thông tin nào của công ty cũng như của khách hàng bị lộ ra.

    Theo Symantec, đây không phải vấn đề bảo mật và dường như tin tặc Unu đã nhầm khi đưa ra cáo buộc trên dựa vào một thông báo lỗi. Trong một vụ tấn công SQL Injection, tin tặc khai thác lỗi trong chương trình web có truy vấn tới các CSDL SQL. Vấn đề là chúng phải tìm ra cách chạy các lệnh trong CSDL và truy cập thông tin (thường được bảo vệ). Trong những năm vừa qua, lỗ hổng SQL Injection bị dùng trong rất nhiều vụ tấn công web, cho phép bọn tội phạm đặt mã độc lên hàng ngàn website khác nhau.

    Dựa trên mô tả vấn đề của tin tặc Unu, CEO Robert Hansen của công ty tư vấn bảo mật web SecTheory tỏ ý nghi ngờ liệu đó có đúng là lỗ hổng SQL Injection hay không. Nếu đúng, tấn công SQL Injection sẽ để lộ những thông tin mà nhà sản xuất muốn bảo vệ như địa chỉ e-mail của khách hàng, mã kích hoạt sản phẩm.

    Tin tặc Unu cho biết cũng đã phát hiện những vấn đề tương tự trên website của nhiều nhà sản xuất bảo mật khác như Kaspersky Lab, BitDefender và F-Secure.

    Bạch Đình Vinh
    Theo IDG News Service, 19/2/2009

    ID: O0902_1