Công bố lỗi bảo mật trên MSN và Amazon

Tức giận về thái độ thờ ơ và thiếu trách nhiệm của Microsoft và Amazon, một chuyên gia nghiên cứu bảo mật đã công bố chi tiết các lỗi bảo mật tồn tại trên trang web của hai hãng này.

Yash Kadakia - một chuyên gia nghiên cứu bảo mật độc lập - là người đã phát hiện ra những lỗi bảo mật này.

Theo chuyên gia nghiên cứu này, những lỗi bảo mật này có thể bị tin tặc khai thác để ăn cắp các tệp tin dữ liệu cookies cho phép chúng đoạt quyền truy cập vào các tài khoản trên trang web Amazon.com và MSN.com hoặc cho hiển thị một trang web đăng nhập giả mạo phục vụ mục đích tấn công lừa đảo trực tuyến.

Những lỗi bảo mật do chuyên gia nghiên cứu Kadakia phát hiện đều là những lỗi tấn công kịch bản liên trang (cross-site scripting). Đây là những lỗi bảo mật được đánh giá là có mức độ nguy hiểm không cao.

Lỗi bảo mật trên MSN bị Kadakia khai thác


Nhưng những cuộc tấn công thử nghiệm của chuyên gia này lại sử dụng một kỹ thuật có tên CRLF (Carriage Return Line Feed) Injection. Kỹ thuật này có thể được sử dụng trong những cuộc tấn công nguy hiểm và có phạm vi ảnh hưởng rộng hơn.

Kadakia cho biết đã thông báo lỗi bảo mật này cho Microsoft khoảng một năm trước đây. Tương tự, lỗi bảo mật trên trang Amazon.com dù đã được phát hiện từ tháng 12 năm ngoái nhưng đến nay vẫn chưa được khắc phục. Chính vì thế mà cuối tuần qua, chuyên gia nghiên cứu bảo mật độc lập này đã quyết định làm cho vấn đề trở nên nghiêm trọng hơn khi quyết định công bố hình ảnh những lỗi bảo mật trên bị khai thác trên trang web cá nhân. Có thể động thái này của Kadakia là nhằm mục đích thu hút sự chú ý của hai hãng Microsoft và Amazon khiến họ phải khắc phục những lỗi bảo mật nói trên.

Lỗi bảo mật trên Amazon bị Kadakia khai thác


Ngay sau đó, một người phát ngôn của Microsoft cho biết hãng này hiện đang điều tra thêm về lỗi bảo mật do Kadakia phát hiện. Trong khi đó, Amazon chưa có bất kỳ một lời bình luận chính thức nào.

Nhưng Kadakia cho biết cả Amazon và Microsoft đang cho khắc phục những lỗi bảo mật nói trên.

Những lỗi bảo mật web tương tự như những lỗi do chuyên gia Kadakia phát hiện đã tồn tại và được phát hiện trên Internet từ lâu.Tuy nhiên, tin tặc lại chú ý nhiều đến việc khai thác các lỗi bảo mật trong hệ điều hành. Nhưng giờ đây khi các lỗi bảo mật trong hệ điều hành ngày một khó bị phát hiện, tin tặc đã bắt đầu quay trở lại tìm kiếm trên những phương diện mới, trong đó có ứng dụng web. Và ngày càng có nhiều lỗi bảo mật web được phát hiện hơn nữa.

Mới đầu tháng này, một con sâu máy tính đã tấn công mạnh mẽ vào máy chủ dịch vụ thư điện tử trên web của Yahoo. Với tên gọi JS.Yamanner@m, con sâu này chưa gây ra thiệt hại trên diện rộng nhưng bản thân nó cũng đã thu hút được sự chú ý tới những lỗi bảo mật ứng dụng web.

Sự phản ứng chậm chạp của Microsoft và Amazon cho thấy những lỗi bảo mật web vẫn chưa nhận được sự quan tâm thích đáng. Những lỗi bảo mật tồn tại trên những trang web được xem là tốt nhất thế giới.

Hoàng Dũng
Theo Computerworld, VnMedia
Danh mục

Khám phá khoa học

Sinh vật học

Khảo cổ học

Đại dương học

Thế giới động vật

Khoa học vũ trụ

Danh nhân thế giới

Ngày tận thế

1001 bí ẩn

Chinh phục sao Hỏa

Kỳ quan thế giới

Người ngoài hành tinh - UFO

Trắc nghiệm Khoa học

Khoa học quân sự

Lịch sử

Tại sao

Địa danh nổi tiếng

Hỏi đáp Khoa học

Công nghệ mới

Khoa học máy tính

Phát minh khoa học

AI - Trí tuệ nhân tạo

Y học - Sức khỏe

Môi trường

Bệnh Ung thư

Ứng dụng khoa học

Câu chuyện khoa học

Công trình khoa học

Sự kiện Khoa học

Thư viện ảnh

Video