Tin An Ninh Mạng

[Update] Google cảnh báo lỗ hổng bảo mật trong SSL 3.0

hacker 6
Cập nhật ngày 01/11/2014: Chuyên gia của Google cho biết Google Chrome phiên bản 39 sẽ tắt mặc định SSL 3.0, phiên bản 40 sẽ gỡ bỏ hẳn giao thức này.

Hôm thứ Ba (14/10), Google thông báo đã khám phá “lỗ hổng trong thiết kế SSL 3.0”.

{

}

1490893091lohong.jpg

Ba nhân viên Google phát hiện ra vấn đề là Bodo Möller, Thai Duong và Krzysztof Kotowicz. Đây không phải lần đầu tiên SSL (giao thức bảo mật mà người dùng Internet sử dụng để mã hóa và bảo đảm an toàn) gặp sự cố. Đầu năm nay, lỗ hổng “trái tim rỉ máu” (Heartbleed) cũng được công bố.

Lần này, phiên bản SSL 3.0 bị ảnh hưởng. Tuy đã tồn tại 18 năm và được thay thế bằng TLS 1.0, TLS 1.1 và TLS 1.2, lỗ hổng vẫn gây lo ngại do phần lớn thay thế TLS hiện đại đều tương thích với Open SSL 3.0.

Hầu hết các trình duyệt web đều hỗ trợ SSL 3.0 và thậm chí còn hỗ trợ giao thức cũ hơn nếu có thứ gì đó không hoạt động hoặc bị kẻ tấn công phát động.

Google cho biết chỉ cần vô hiệu hóa SSL 3.0 là đủ để ngăn chặn vấn đề song sẽ gây ra lỗi tương thích. Do đó, công ty tuyên bố hỗ trợ TLS_FALLBACK_SCSV, ngăn cản việc SSL 3.0 bị lợi dụng. Trong vài tháng tới, hãng tìm kiếm Internet hi vọng có thể ngừng hỗ trợ SSL 3.0 trên mọi sản phẩm.

Các nhà phát triển trình duyệt khác như Mozilla (Firefox), Microsoft (Internet Explorer) hay Apple (Safari) có thể đi theo con đường của Google, phát hành bản cập nhật mới hỗ trợ TLS_FALLBACK_SCSV để khắc phục sự cố.

Giao thức SSL bảo vệ dữ liệu trao đổi giữa website và người dùng, thường được chứng nhận an toàn bằng biểu tượng khóa màu xanh và HTTPS. Nếu SSL gặp vấn đề, tin tặc có thể xâm nhập và thay thế dữ liệu, mở cửa cho mọi phương thức tấn công.

Nhận định về khả năng khai thác thành công lỗ hổng này, ông Nguyễn Hồng Sơn, Trưởng phòng Nghiên cứu An ninh mạng Bkav cho biết: “Về lý thuyết đây là một lỗ hổng nghiêm trọng, tuy nhiên khả năng khai thác thành công trong thực tế là thấp. Để khai thác được, cả server và trình duyệt của nạn nhân đều phải sử dụng giao thức SSL 3.0. và phải có lượng dữ liệu đủ lớn được gửi từ nạn nhân đến server.

[Update] Hướng dẫn khắc phục lỗ hổng SSL 3.0

Thứ Ba (14/10), các chuyên gia nghiên cứu của Google thông báo tìm ra lỗ hổng POODLE trên giao thức SSL 3.0. Khai thác thành công, hacker có thể đánh cắp cookie và dữ liệu liên quan khác của người dùng Internet.
Ông Nguyễn Hồng Sơn, Trưởng phòng Nghiên cứu An ninh mạng Bkav nhận định: “Về lý thuyết đây là một lỗ hổng nghiêm trọng, tuy nhiên khả năng khai thác thành công trong thực tế là thấp. Để khai thác được, cả server và trình duyệt của nạn nhân đều phải sử dụng giao thức SSL 3.0. và phải có lượng dữ liệu đủ lớn được gửi từ nạn nhân đến server.”
Tuy nhiên, để đảm bảo an toàn các quản trị hệ thống nên tắt SSL 3.0. Hướng dẫn chi tiết tại đây: Sửa lỗi SSLv3.0

ICTNews, Bkav

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !