Lỗi mới trong OpenSSL, Web lại cần cập nhật

Tin Trong Ngành

Thứ năm, 08:21 Ngày 12/06/2014

TTO – Các chuyên gia bảo mật đã khám phá một số lỗ hổng mới trong OpenSSL, là nguyên nhân dẫn đến lỗi “Trái tim rỉ máu” (Heartbleed) gây “náo loạn” Internet vào tháng 4.

Biểu tượng ổ khóa thể hiện kết nối Internet đã được mã hóa. Một biểu tượng đặc trưng của website có kết nối mã hóa dùng OpenSSL – Ảnh: Reuters

Các chuyên gia cho biết đây là những lỗi bảo mật mới được khám phá trong phần mềm mã hóa Web OpenSSL, có thể bị hacker do thám liên lạc. Tội phạm mạng khai thác thành công lỗi sẽ có thể thấy và điều chỉnh lưu lượng giữa OpenSSL trạm (client) và máy chủ OpenSSL (server).

Tuy nhiên, nó không phải là nguy cơ nghiêm trọng như “Heartbleed”, do cách khai thác thành công lỗ hổng này khó khăn hơn Heartbleed, và chỉ ảnh hưởng trên một số phiên bản nhất định.

Các website và những hãng công nghệ dùng OpenSSL được khuyến cáo cập nhật bản vá OpenSSL mới phát hành cho hệ thống của mình ngay lập tức. Bản vá khắc phục tổng cộng 7 lỗi, cụ thể: OpenSSL 0.9.8 DTLS cập nhật phiên bản 0.9.8za, OpenSSL 1.0.0 DTLS cập nhật 1.0.0m và OpenSSL 1.0.1 DTLS nâng cấp lên 1.0.1h.

Đối với các doanh nghiệp, có thể phải mất vài ngày đến vài tuần vì cần kiểm tra hệ thống độ tương thích với bản cập nhật.

OpenSSL được dùng mã hóa cho 2/3 website trên toàn thế giới, bao gồm cả những “gã khổng lồ” như Amazon, Facebook, Google hay Yahoo. Ngoài ra, nó cũng kết hợp vào trong nhiều sản phẩm công nghệ của những công ty như Cisco System, HP, IBM, Intel hay Oracle. Do đó, lỗi bảo mật nguy hiểm trong OpenSSL dễ khiến ngành công nghệ lên cơn đau tim.

Trong tháng 4, lỗi “Trái tim rỉ máu” (Heartbleed) được công bố, cho thấy nguy cơ an ninh mạng rất nghiêm trọng, phạm vi ảnh hưởng rộng lớn. Tội phạm mạng có thể âm thầm đánh cắp dữ liệu mà không thể truy vết, và nó ảnh hưởng trực tiếp lên cả người dùng cuối truy cập vào website dính lỗi.

Nguồn: TTO