Khe hở nghiêm trọng của phiên bản Firefox mới nhất rơi vào cơ chế quản lý đăng nhập có khả năng bị các hacker lợi dụng để lừa bịp người dùng nhằm khai thác các thông tin về mật khẩu. Đó là những thông tin được đăng tải trên trang blog cá nhân của Aviv Raff, chuyên gia phát hiện các lỗi bảo mật của trình duyệt người Isarel.
Theo Raff, phiên bản Firefox 2.0.0.11 mới nhất đã gặp lỗi trong việc lược bớt các dấu ghi chú và khoảng trắng trong giá trị "Realm" của header xác thực (Authentication header). "Điều này sẽ tạo cơ hội cho một kẻ tấn công nào đó có thể tạo ra một giá trị Realm giả có diện mạo giống hệt như các hộp thoại yêu cầu thực từ những trang web đáng tin cậy" Raff nói.
Raff đã phác thảo ra hai dạng tấn công có thể được thực hiện. Thứ nhất là dựa trên một trang web có chứa một liên kết tới các trang uy tín như ngân hàng, hay các dịch vụ email. Khi người dùng nhấn vào thì sẽ lập tức xuất hiện một hộp thoại đăng nhập như bình thường. Nhưng sự thật ở đằng sau, những kẻ tấn công đã sử dụng một đoạn mã nhằm khai thác lổ hỗng của Firefox để chuyển hướng các thông tin về tên đăng nhập và mật khẩu về máy chủ của hácker.
Cách thứ hai, là những tấm ảnh có thể được gửi qua thư điện tử hoặc nhúng vào blog hoặc các trang MySpace và khi nhấn vào cũng xuất hiện hộp thoại yêu cầu đăng nhập với giao diện hoàn toàn hợp pháp.
Đoạn phim của Raff được đăng trên YouTube mô phỏng một cuộc tấn công hòng lừa bịp hệ thống chi trả của Google Inc. Bạn có thể tải đoạn phim tại đây.
Raff đưa ra lời cảnh báo trên trang blog cá nhân rằng "Cho đến khi phía Mozilla trám lại lổ hỗng này, tôi khuyến cáo các bạn không nên cung cấp thông tin về tài khoản và mật khẩu đăng nhập cho các trang web hiển thị hộp thoại này"
Hôm thứ năm, người đứng đầu về bảo mật của Mozilla, Window Snyder cho biết rằng họ đang điều tra những thông tin do Raff cung cấp.
Vĩnh Duy (Theo PCWorld)
Bình luận