»

Chủ nhật, 24/11/2024, 14:03:21 PM (GMT+7)

Yahoo lại gây "sốc" với lỗi bảo mật của trình duyệt Axis

(17:17:44 PM 25/05/2012)
(Tin Môi Trường) - (Tinmoitruong.vn) - Yahoo! đã khiến không ít người phải ngạc nhiên khi bất ngờ tung ra trình duyệt web của riêng mình, mang tên Axis vào ngày hôm qua. Tuy nhiên, dường như Yahoo! đã quá nóng vội trong quyết định của mình khi lỗi bảo mật nghiêm trọng đã sớm bị phát hiện trong Axis.


Axis là trình duyệt web được Yahoo! tung ra dưới dạng ứng dụng dành cho nền tảng iOS (cả iPhone lẫn iPad), đồng thời hoạt động dưới dạng add-on dành cho các trình duyệt trên máy tính cá nhân (Firefox, Safari, Chrome và Internet Explorer).

Tuy nhiên, theo phát hiện của một doanh nhân kiêm hacker Nik Cubrilovic thì add-on Axis trên trình duyệt web Google Chrome của Google ẩn chứa một lỗ hổng bảo mật nghiêm trọng.

Sau khi download và cài đặt add-on Axis cho Google Chrome với mục đích kiểm tra mã nguồn, Cubrilovic đã phát hiện ra rằng giấy phép xác nhận mà Axis sử dụng để xác thực với Google, về cơ bản là đoạn mã dùng để Chrome kiểm tra xem add-on cài đặt có an toàn hay không, có thể dễ dàng bị truy cập bởi bất kỳ ai.

Yahoo! sẽ phải tốn không ít công sức để lấy lại lòng tin ở người dùng với Axis sau lỗi bảo mật nghiêm trọng vừa bị phát hiện


Điều này có nghĩa là nếu một hacker muốn tạo ra một phần mềm độc hại để lây nhiễm vào Chrome, họ có thể sử dụng quyền xác nhận này của Axis để làm cho phần mềm độc hại dường như trở nên an toàn, nhằm qua mắt trình duyệt Chrome.

Một khi đã nhìn thấy quyền xác nhận, Chrome sẽ nghĩ rằng phần mềm độc hại này đã được phê duyệt bởi Yahoo! và cho phép cài đặt.

Cubrilovic cho biết ông đã thử nghiệm lỗ hổng bảo mật này bằng cách tạo ra một bản sao của add-on Axis trên Chrome, sử dụng chính giấy phép xác nhận trên add-on Axis, sau đó cài đặt add-on giả mạo vào trình duyệt Chrome. Quá trình này diễn ra hoàn hảo khi Chrome tưởng nhầm rằng đó là add-on của Yahoo.

Theo Cubrilovic, nếu hacker sử dụng giấy phép xác nhận này của Axis, về mặt lý thuyết tin tặc có thể tạo ra các phần mềm độc hại để có thể nắm bắt tất cả các trang web mà người dùng truy cập trên trình duyệt Chrome, bao gồm cả mật khẩu đăng nhập và cookies.

Ngay sau khi có thông tin về lỗ hổng bảo mật nguy hiểm này, phát ngôn viên của Yahoo cho biết: “Chúng tôi đã nhận được báo cáo về lỗ hổng bảo mật của Axis trên Chrome. Chúng tôi sẽ làm việc nhanh chóng để khắc phục vấn đề này và ra mắt add-on mới trên Chrome. Người dùng đã cài đặt Yahoo Axis trên Chrome trong khoản thời gian từ 6 - 9 giờ sáng (theo giờ Việt Nam) từ ngày 23/5 hãy gỡ bỏ add-on cũ và cài đặt phiên bản mới”.

Hãng bảo mật Sophos sau đó cũng đã xác nhận rằng Yahoo đã thay thế add-on Axis  trên trình duyệt Chrome sang phiên bản mới. Tuy nhiên, điều đáng quan ngại là liệu Google đã hủy bỏ giấy phép cũ được sử dụng bởi add-on Axis cũ hay chưa. Nếu chưa, hacker vẫn có thể loại dụng giấy phép này để tạo ra các add-on giả mạo và xâm nhập vào trình duyệt Chrome.

Sophos cũng đưa ra lời khuyên người dùng chưa nên sử dụng Axis vào thời điểm này và chờ một thời gian nữa cho add-on này thực sự hoàn thiện.

Lỗ hổng bảo mật vừa được phát hiện được xem là một “cú vấp” khá nặng dành cho Yahoo!, khi hãng đang nỗ lực lấy lại hình ảnh và uy tín của mình. Tuy nhiên, với việc mắc phải lỗi bảo mật nghiêm trọng chỉ sau một ngày được ra mắt, Yahoo! sẽ lại phải tốn rất nhiều công sức để lấy lại lòng tin ở người sử dụng.


(Theo Dân trí)
Từ khóa liên quan: yahoo, trình duyệt, Axis, lỗi, bảo mật
TÁI CHẾ ĐƠN GIẢN THẾ

Gửi ý kiến bạn đọc về: Yahoo lại gây "sốc" với lỗi bảo mật của trình duyệt Axis

* *
*
*
Chọn file
(File: .Zip - 2M)
(Tin Môi Trường hoan nghênh các ý kiến đóng góp của bạn đọc cho bài viết. Các thảo luận sẽ được xem xét trước khi đăng tải. Tin Môi Trường giữ quyền từ chối những lời lẽ xúc phạm cá nhân, tổ chức; lời lẽ trái thuần phong mỹ tục, vi phạm pháp luật. Bạn đọc thảo luận bằng tiếng Việt có dấu. Ý kiến không nhất thiết thể hiện quan điểm của Tin Môi Trường. Cám ơn sự đóng góp và hợp tác của các bạn)
 SHIP TRUNG VIỆT
Không xả rác
VACNECPECO
 Quái thú 230 triệu tuổi "lai" giữa cá sấu và chim

Quái thú 230 triệu tuổi "lai" giữa cá sấu và chim

(Tin Môi Trường) - Vào cuối kỷ Tam Điệp, miền đất nay là bang Wyoming của nước Mỹ tồn tại một quái thú kỳ lạ với chiếc mỏ như vẹt, mình khủng long. Nó được đặt tên là Beesiiwo cooowuse, một loài mới.

Tin Môi Trường
 Những người còn theo đuổi ống hút 'xanh'

Những người còn theo đuổi ống hút 'xanh'

(Tin Môi Trường) - Một thời, các loại ống hút làm từ tre, cỏ bàng, tinh bột, giấy... được nhiều người lựa chọn theo xu hướng sống thân thiện với môi trường. Hiện nay, dù không còn là trào lưu thời thượng, các sản phẩm 'xanh' này vẫn có thị trường riêng.

VACNE 30 năm
 Cảnh báo: Lừa đảo hỗ trợ cập nhật sinh trắc học

Cảnh báo: Lừa đảo hỗ trợ cập nhật sinh trắc học

(Tin Môi Trường) - Theo ghi nhận của các chuyên gia Bkav, lợi dụng tình trạng nhiều khách hàng gặp khó khăn khi cập nhật sinh trắc học trên các ứng dụng, kẻ xấu giả danh cán bộ ngân hàng vờ hỗ trợ cài đặt sinh trắc học để lừa đảo, chiếm đoạt tiền trong tài khoản của nạn nhân.

Hội BVTN&MT Việt Nam
KHÔNG XẢ RÁC BỪA BÃI