Hàng trăm nghìn website của các cơ quan chính phủ, tổ chức tài chính, doanh nghiệp và cá nhân toàn cầu đang phải đối mặt với nguy cơ bị tấn công và mất dữ liệu cá nhân khi người dùng truy cập vào website chứa lỗi bảo mật cực kỳ nguy hiểm trong Adobe Flash.
Các chuyên gia nghiên cứu của Google và một hãng bảo mật danh tiếng cho biết bằng kỹ thuật tấn công XSS (cross-site scripting), tin tặc có thể dễ dàng khai thác lỗi bảo mật đó để chèn mã độc trực tiếp vào trong mã nguồn hợp pháp trên các website.
Dự kiến chi tiết về lỗi bảo mật Flash nói trên sẽ được công bố trong cuốn sách “Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions” sắp được phát hành. Tuy nhiên, hiện đã có không ít chuyên gia bảo mật có được cuốn sách đó trong tay.
Tác giả cuốn sách là một trong những chuyên gia thử nghiệm đột nhập của hãng bảo mật iSEC và Google khẳng định: thông qua công cụ tìm kiếm ông đã phát hiện được có tới hơn 500.000 Flash mắc lỗi đang tồn tại trên các website của hàng loạt các doanh nghiệp lớn, tổ chức tài chính, cơ quan chính phủ…
“Rất nhiều người đang phải đối diện với nguy cơ bị tấn công bởi hiện vẫn chưa có bất kỳ bản sửa lỗi nào được phát hành. Giải pháp bảo vệ duy nhất nên làm hiện nay là gỡ bỏ các tệp tin Flash mắc lỗi và chờ đợi đến khi ứng dụng Flash được nâng cấp,” Alex Stamos - một trong những tác giả của cuốn sách - cho biết. “Các nhà quản trị website cần phải kiểm tra lại tất cả các tệp tin Flash đang được sử dụng trên website của mình”.
“Nhiệm vụ bất khả thi”
Tuy nhiên, việc tìm kiếm và loại bỏ các tệp tin Flash mắc lỗi dường như là một nhiệm vụ bất khả thi bởi hầu như tất cả các chương trình tạo nội dung Flash đều sản sinh ra nội dung mắc lỗi. Một nguyên nhân nữa là trong việc phát triển website phần việc lập trình và phần mềm đồ hoạ thường được tách riêng. Trong khi đó, việc loại bỏ các tệp tin Flash mắc lỗi yêu cầu cần phải kiểm tra toàn diện và thử nghiệm từng tệp tin Flash một. Nâng cấp Flash Player cũng chỉ có thể giúp kìm chế một phần nào mức độ nguy hiểm chứ khó có thể khắc phục hoàn toàn lỗi.
Tác giả Stamos cho biết bản cập nhật mới được Adobe phát hành trong tuần này cũng không thế giúp khắc phục được lỗi nói trên.
Các tác giả của cuốn sách đã liên tục làm việc cùng với Adobe System từ mùa hè vừa rồi nhằm tìm ra giải pháp khắc phục lỗi hiệu quả nhất. Đại diện của Adobe cho biết bản sửa lỗi sẽ được phát hành trong khoảng vài tuần nữa và khuyến cáo người dùng trong thời điểm này nên tìm cách vô hiệu hoá các tệp tin Flash được hiển thị trên các website.
Các nhà sáng tạo nội dung Flash có thể tham khảo thêm thông tin từ Adobe về việc sử dụng các hàm thư viện chứng thực dữ liệu nhằm tránh mắc phải lỗi nguy hiểm nói trên. Tài liệu này có thể được tải về từ đây.
(Theo TTO/Register)
Bình luận