Google phát hiện lỗ hổng bảo mật trong SSL 3.0
Ba nhà nghiên cứu của Google đã phát hiện ra lỗi bảo mật nghiêm trọng trong giao thức mã hóa web SSL 3.0. Lỗ hổng “Poodle” cho phép tin tặc chiếm tài khoản email, tài khoản ngân hàng và các dịch vụ khác.
Việc phát hiện ra Poodle (Padding Oracle On Downloaded Legacy Encryption) sẽ thúc đẩy các nhà cung cấp trình duyệt web và người dùng sớm chấm dứt sử dụng chuẩn bảo mật đã 18 năm tuổi SSL 3.0, nguồn gốc của lỗi bảo mật này.
Đây là lần thứ ba trong năm nay các nhà nghiên cứu phát hiện ra lỗ hổng trong giao thức mã hóa web. Hai lần trước là lỗ hổng “Heartbleed” trong OpenSSL hồi tháng Tư, sau đó là lỗ hổng “Shellshock” trong Unix.
Các chuyên gia bảo mật cho biết tin tặc có thể đánh cắp cookies duyệt web, từ đó kiểm soát các tài khoản thư điện tử, mạng xã hội và ngân hàng. Mặc dù vậy, các chuyên gia cho rằng Poodle không nghiêm trọng như hai lỗ hổng trước đây.
“Nếu mức độ nguy hiểm của “Shellshock” và “Heartbleed” ở mức Threat Level 10 thì “Poodle” chỉ ở mức 5 hoặc 6″, Tal Klein, phó chủ tịch hãng bảo mật Adallom, cho biết.
Thông tin về lỗ hổng trong giao thức SSL 3.0 khiến nhiều chuyên gia bảo mật phải thực hiện hiện những biện pháp để sẵn sàng đối phó với một mối đe dọa này.
Ivan Ristic, giám đốc nghiên cứu bảo mật Qualys, cho rằng Poodle không nghiêm trọng như các lỗ hổng trước đây bởi quá trình tấn công khá phức tạp, đòi hỏi tin tặc phải có quyền truy cập vào mạng.
Google cũng đề cập tới một số kỹ thuật để đảm bảo an toàn cho các máy chủ web. Tuy nhiên gã khổng lồ tìm kiếm hy vọng có thể loại bỏ giao thức SSL 3.0 trên các máy khách.
Mozilla cũng có kế hoạch vô hiệu hóa SSL 3.0 trong phiên bản trình duyệt Firefox tiếp theo được phát hành vào ngày 25/11.“SSL 3.0 không còn an toàn”, Mozilla cho biết trên blog của công ty. “Trình duyệt và các trang web cần phải vô hiệu hóa SSL 3.0 và sử dụng giao thức bảo mật hiện đại hơn càng sớm càng tốt”.
Trong khi đó Microsoft cũng đã phát hành một hướng dẫn vô hiệu hóa SSL 3.0 trên Windows cho máy chủ và máy tính cá nhân.
Nguồn: vnreview.vn, Hoàng Kỷ, Theo HuffingtonPost