Lỗi bảo mật SSL 3.0 được Google phát hiện gần đây và đặt tên POODLE (Padding Oracle On Downgraded Legacy Encryption) được biết có thể cho phép hacker đánh cắp các cookies, dữ liệu cá nhân của người dùng. Các hacker thậm chí còn có thể dùng các dữ liệu đánh cắp được để truy cập thông tin của người dùng thông qua các website sử dụng giao thức này.
Ngay sau khi phát hiện lỗi bảo mật trên, Google đã cho hay người dùng trình duyệt Chrome có thể yên tâm vì hãng đã vô hiệu hóa giao thức bảo mật SSL 3.0; và đồng thời cũng cảnh báo người dùng các trình duyệt khác hãy cẩn thận.
Mozilla cũng là một trong số các đối tượng bị ảnh hưởng bởi lỗi bảo mật SSL 3.0 nói trên. Tuy nhiên, hãng mới đây đã tiết lộ trình duyệt Firefox phiên bản 34 mới nhất dự kiến tung ra trong một vài tuần tới sẽ có khả năng miễn nhiễm với lỗi này vì cũng đã được cài đặt thêm các đoạn mã giúp vô hiệu hóa SSL 3.0.
Người dùng hẳn sẽ tự hỏi vì sao Mozilla lại phải chờ đợi khá lâu trước khi tung ra bản trình duyệt có thể giúp bảo vệ họ khỏi các cuộc tấn công đánh cắp dữ liệu. Lí do khá rõ ràng cho sự chậm trễ này chính là để các nhà quản trị web có đủ thời gian để nâng cấp lên một giao thức mã hóa cao cấp hơn (như TLS), nhằm bảo vệ các kết nối nhạy cảm đã được mã hóa.
Mozilla còn cho biết thêm rằng ngoài việc vô hiệu hóa SSL 3.0, trình duyệt Firefox 34 còn được thêm các biện pháp bảo vệ giúp ngăn ngừa các cuộc tấn công có thể xảy ra trong tương lai. Tất cả những gì mà người dùng Firefox cần làm là kích hoạt tính năng cập nhật tự động cho trình duyệt - để có thể nhận được bản cập nhật mới nhất từ Mozilla ngay khi có thể (dự kiến vào ngày 25/11).
Trong thời gian chờ đợi bản cập nhật, người dùng Firefox có thể dùng tạm add-on SSL Version Control do Mozilla phát triển nhằm vô hiệu hóa SSL 3.0 và sử dụng giao thức TLS 1.0 thay thế.
Theo PC World VN.
Bình luận