}
Cụ thể, kẻ xấu có thể lợi dụng lỗ hổng mới phát hiện trên OpenSSL để chặn kết nối đã được mã hóa, giải mã kết nối và xem chi tiết, thậm chí là thay đổi gói tin.
Người sử dụng OpenSSL được khuyên nên cập nhật bản vá mới nhất của phần mềm. Lỗ hổng được phát hiện đầu tiên bởi Masashi Kikuchi, chuyên gia nghiên cứu Nhật Bản của công ty phần mềm Lepidum.
Không giống như Heartbleed có thể bị khai thác trực tiếp trên bất kỳ server nào sử dụng OpenSSL, để khai thác lỗ hổng mới, tin tặc bắt buộc phải đứng giữa kết nối của 2 máy tính. Người dùng wifi công cộng tại sân bay là một ví dụ về đích nhắm của tin tặc. Như vậy xét về quy mô và điều kiện khai thác, lỗ hổng này ít nguy hiểm hơn HeartBleed.
Lỗ hổng này tồn tại trên OpenSSL từ khi phần mềm này được ra mắt vào năm 1998, tức là “có thâm niên” hơn Heartbleed đến 10 năm.
Việc một lỗ hổng tồn tại trên phần mềm trong suốt một quãng thời gian dài như vậy mà không bị phát hiện là một vết nhơ nữa trong quản lý của OpenSSL. OpenSSL là phần mềm mã nguồn mở, bất cứ ai cũng có thể xem xét và cập nhật, đồng nghĩa với việc được đánh giá là an toàn và đáng tin cậy hơn so với phần mềm chỉ được cập nhật bởi nhân viên kỹ thuật của một công ty riêng lẻ nào đó. Tuy nhiên, trên thực tế, OpenSSL chỉ có một nhân viên phát triển full-time và 3 lập trình viên tình nguyện tại châu Âu và hoạt động trên quỹ ngân sách đóng góp là 2.000 đô la Mỹ mỗi năm. Trong khi đó, OpenSSL được sử dụng để mã hóa hầu hết các web server trên thế giới, và được sử dụng rộng rãi bởi các công ty công nghệ như Amazon, Cisco.
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment