• Thứ Ba, 22/09/2009 17:02 (GMT+7)

    Lỗ hổng SSL vẫn tồn tại trong Internet Explorer

    Microsoft vẫn chưa thừa nhận điểm yếu trong trình duyệt IE. Điểm yếu này được công khai 7 tuần trước, có thể giúp tin tặc “chiếm đoạt” những phiên duyệt web an toàn.

    Microsoft cho biết vẫn đang điều tra xem điểm yếu này có tồn tại hay không nhưng Apple (vốn phát triển trình duyệt Safari for Windows dựa trên mã của Microsoft) tiết lộ, Safari for Windows có “dính” điểm yếu này và mã của Microsoft là nguyên nhân. Apple cho biết, nếu Microsoft không khắc phục vấn đề thì Apple cũng “bó tay”. Apple đã khắc phục vấn đề cho Safari for Mac. Người phát ngôn của Microsoft nói, khi nào công ty kết thúc điều tra sẽ có hành động thích hợp với thực tế.

    Tin tặc có thể khai thác điểm yếu để thực hiện tấn công “man-in-the-middle”, “dụ” trình duyệt  thực hiện những phiên duyệt web SSL với các máy chủ “độc” chứ không phải là các máy chủ mà người dùng định kết nối. Lỗi nằm trong cách trình duyệt đọc các chứng nhận x.509 (được dùng để thẩm định quyền những máy tính tham gia các phiên SSL/TLS). Các phiên bản Safari for Mac, Firefox, Opera hiện nay đều đã đã khắc phục vấn đề này.

    Tại hội nghị Black Hat hồi tháng 7/2009, trong 2 buổi nói chuyện khác nhau, 2 nhà nghiên cứu bảo mật Dan Kaminski và Moxie Marlinspike đã cảnh báo về việc lỗi có thể bị khai thác để tấn công. Ông Marlinspike nói thêm, ngoài trình duyệt thì những chương trình sử dụng giao thức SSL khác như Outlook, VPN, chat client,… cũng bị nguy hiểm.

    Bạch Đình Vinh
    Theo Network World, 18/9/2009

    ID: O0909_1