Facebook và MySpace đóng "cửa hậu" nguy hiểm - Bản có dấu.
Facebook va MySpace dong "cua hau" nguy hiem - Bản không dấu.

Ảnh minh họa: Internet

Lỗi nằm trong cách thức mà website  mạng xã hội  xử lý các yêu cầu về dữ liệu  từ các tên miền  (domain) khác. MySpace  và Facebook  thường khóa các tên miền  khác khi chúng yêu cầu dữ liệu  và nhận dữ liệu  vì những lý do  bảo mật, ngoại trừ các tên miền  phụ (subdomain) của chính các mạng xã hội  này. Những chính sách thiết lập này chứa đựng trong tập tin crossdomain.xml nằm ở thư mục gốc (root) của máy chủ.

Yvo Schaap, lập trình viên người Hà Lan, đã phát hiện một lỗ hổng  lập trình có thể dùng để đánh cắp dữ liệu  người dùng  từ Facebook. Theo Schaap, người dùng  có thể bị dẫn dụ vào một liên kết có chứa ứng dụng Flash  được lập trình để lấy dữ liệu, nếu nạn nhân  sử dụng chức năng tự động đăng nhập vào Facebook  mà đại đa số thành viên  Facebook  đều kích hoạt. Khi ấy, với các thủ thuật khai thác, tin tặc  có thể "thu hoạch" toàn bộ dữ liệu  người dùng  từ tin nhắn, hình ảnh, dữ liệu... chuyển sang một máy chủ  khác mà khó lòng lần ra dấu vết.

Schaapcũng khám phá "gót chân Achilles" của MySpace  khi mạng xã hội  này chophép tên miền "farm.sproutbuilder.com" truy xuất dữ liệu. Một ứng dụngFlash có thể được tải lên website  đó để khai thác dữ liệu  trái phép.

Tuy nhiên, MySpace  không đồng ý với thông tin  trên,mạng xã hội  này cho rằng những thông tin  có thể bị khai thác chỉ lànhững thông tin  đã xuất bản ra công cộng  mà thôi. Vấn đề chính là tênmiền "farm... com" đã được khắc phục. Chưa có dữ liệu  nhạy cảm nào bịthất thoát.

Cả Facebook  và MySpace  đã nhanh chóng khắc phục  lỗi trong lập trình liên quan đến chính sách tên miền.

Trình duyệt web  cũng tranh nhau vá lỗi

Trình duyệt web  nhanh nhất hiện nay là Chrome mắc phảilỗi nguy hiểm xuất phát từ bộ lõi Webkit khiến Google  phải nhanh tayphát hành bản nâng cấp  lên 3.0.195.32 cho Chrome 3.

Bằng những phương thức phức tạp, tin tặc  có thể thực thi mã tùy ý trên máy tính  nạn nhân  thông qua những trục trặc giữa trình duyệt  Chrome và plug-in Gears. Bản nâng cấp  còn sửa chữa một số lỗi có mức độ trung bình như các cảnh báo bảo mật  cho những loại tập tin như SVG, MHT hay XML có thể thực thi mã Javascript nhằm truy xuất tài nguyên  cục bộ. Lỗi còn lại được xử lý là trục trặc với trình Adobe  Reader 9.2 khiến nội dung  không được hiển thị, tạo ra một vòng lặp làm bộ xử lý hoạt động  ở mức tối đa.

Thông tin về bản nâng cấp  cho Chrome có thể tham khảo tại đây. Người dùng Google  Chrome 3 nên nâng cấp  lên phiên bản  mới nhất bằng cách chọn Tools - About Google  Chrome - Update.

Phía bên kia chiến tuyến, FireFox  cũng không khá gìhơn khi Mozilla  phát hành bản nâng cấp  FireFox  3.5.5 sau một thời gianngắn ra mắt bản 3.5.4. 

Năm là con số lỗi được khắc phục trong bản Mozilla Firefox  3.5.5,một trong số đó có một lỗi tương đối quan trọng có liên quan đến chứcnăng giải mã  ảnh GIF của FireFox. Các lỗi còn lại nằm trong cách thứcxử lý font và khởi động của FireFox. Tuy không có lỗi bảo mật  nguy hiểm nhưng Mozilla  khuyến cáo người dùng  nên nâng cấp  lên phiên bản  3.5.5 mới nhất hoặc sử dụng bảnMozilla Firefox  - 3.6 beta 1

Cuối cùng là Opera  cũng bị cuốn theo vòng quay của các lỗi khi phiên bản  Opera 10 vướng phải vài lỗi bảo mật  nguy hiểmcó thể bị khai thác thực thi mã độc trên máy tính  nạn nhân. Các lỗi nàyảnh hưởng đến tất cả phiên bản  Opera  10 dành cho các hệ điều hành  nhưWindows, Unix và Mac. Người dùng  Opera  10 nên nâng cấp  lên phiênbản khắc phục lỗi tạm thời tại đây.

Adobe Shockwave Player: cập nhật ngay bản vá quan trọng

Năm lỗi bảo mật  quan trọng ảnh hưởng lên các phiên bản  Adobe Shockwave Player  11.5.1.601 trở về trước đang đe dọa hơn 450 triệu máy tính  trên toàn cầu  đã cài đặt chương trình  này. Adobe  khuyến cáo người dùng  nên nâng cấp  lên phiên bản  sửa lỗi mới nhất Shockwave Player  11.5.2.602 (bản dành cho Windows) để tránh bị tin tặc  tấn công  thực thi mã độc trên hệ thống  hay tấn công  từ chối dịch vụ.

Shockwave Player  dùng để hiển thị các nội dung  đượctạo ra từ chương trình  Adobe  Director bao gồm cả Flash. Director có thểđược sử dụng để tạo ra các hình ảnh  ba chiều (3D), ảnh chất lượng  caohay nội dung  số tương tác. Adobe  Shockwave Player  hay Adobe  FlashPlayer là các ứng dụng được hầu hết máy tính trên thế giới  cài đặt, nêncác lỗ hổng bảo mật  từ những ứng dụng này sẽ là khe hở để tin tặc  khaithác tấn công  vào các hệ thống  mà thông thường là hệ điều hành  Windows.

Bạnđọc nên thường xuyên cập nhật thông tin  bảo mật  để nâng cấp  lên phiênbản mới nhất của những chương trình ứng dụng đã cài đặt trên máy tínhcủa mình, nhằm tránh các nguy cơ bảo mật  từ Internet, virus  hay mã độc.Nếu có kết nối Internet  thì nên kích hoạt chức năng tự động cập nhật cósẵn trong các chương trình.

Hiện tại chưa có bình luận nào về bài viết Facebook và MySpace đóng "cửa hậu" nguy hiểm!

Bạn có ý kiến gì về bài viết Facebook và MySpace đóng "cửa hậu" nguy hiểm này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Facebook và MySpace đóng "cửa hậu" nguy hiểm bạn tại đây.