15/10/2014, 00:00Hà Nội

Google phát hiện lỗ hổng bảo mật trong SSL 3.0

Ba nhà nghiên cứu của Google đã phát hiện ra lỗi bảo mật nghiêm trọng trong giao thức mã hóa web SSL 3.0. Lỗ hổng "Poodle" cho phép tin tặc chiếm tài khoản email, tài khoản ngân hàng và các dịch vụ khác.

Việc phát hiện ra Poodle (Padding Oracle On Downloaded Legacy Encryption) sẽ thúc đẩy các nhà cung cấp trình duyệt web và người dùng sớm chấm dứt sử dụng chuẩn bảo mật đã 18 năm tuổi SSL 3.0, nguồn gốc của lỗi bảo mật này.

Đây là lần thứ ba trong năm nay các nhà nghiên cứu phát hiện ra lỗ hổng trong giao thức mã hóa web. Hai lần trước là lỗ hổng "Heartbleed" trong OpenSSL hồi tháng Tư, sau đó là lỗ hổng "Shellshock" trong Unix.

Google phát hiện ra lỗ hổng bảo mật trong công nghệ mã hóa web SSL

Các chuyên gia bảo mật cho biết tin tặc có thể đánh cắp cookies duyệt web, từ đó kiểm soát các tài khoản thư điện tử, mạng xã hội và ngân hàng. Mặc dù vậy, các chuyên gia cho rằng Poodle không nghiêm trọng như hai lỗ hổng trước đây.

"Nếu mức độ nguy hiểm của "Shellshock" và "Heartbleed" ở mức Threat Level 10 thì "Poodle" chỉ ở mức 5 hoặc 6", Tal Klein, phó chủ tịch hãng bảo mật Adallom, cho biết.

Thông tin về lỗ hổng trong giao thức SSL 3.0 khiến nhiều chuyên gia bảo mật phải thực hiện hiện những biện pháp để sẵn sàng đối phó với một mối đe dọa này.

Ivan Ristic, giám đốc nghiên cứu bảo mật Qualys, cho rằng Poodle không nghiêm trọng như các lỗ hổng trước đây bởi quá trình tấn công khá phức tạp, đòi hỏi tin tặc phải có quyền truy cập vào mạng.

Google cũng đề cập tới một số kỹ thuật để đảm bảo an toàn cho các máy chủ web. Tuy nhiên gã khổng lồ tìm kiếm hy vọng có thể loại bỏ giao thức SSL 3.0 trên các máy khách.

Mozilla cũng có kế hoạch vô hiệu hóa SSL 3.0 trong phiên bản trình duyệt Firefox tiếp theo được phát hành vào ngày 25/11."SSL 3.0 không còn an toàn", Mozilla cho biết trên blog của công ty. "Trình duyệt và các trang web cần phải vô hiệu hóa SSL 3.0 và sử dụng giao thức bảo mật hiện đại hơn càng sớm càng tốt".

Trong khi đó Microsoft cũng đã phát hành một hướng dẫn vô hiệu hóa SSL 3.0 trên Windows cho máy chủ và máy tính cá nhân.

Hoàng Kỷ

Theo HuffingtonPost

Google phát hiện lỗ hổng bảo mật trong SSL 3.0

Chủ đề khác