Tháng 7 - Tháng của lỗ hổng trình duyệt

HD Moore, tác giả của Metasploit Framework - một công cụ giúp kiểm tra xem hệ thống đã an toàn trước các vụ xâm nhập hay chưa - đã đặt tên cho tháng 7 là "Tháng của lỗ hổng trình duyệt".

Mỗi một ngày trong tháng, ông sẽ lần lượt công bố một lỗ hổng mới nằm trong những trình duyệt thông dụng nhất thế giới hiện nay, bao gồm Internet Explorer, Firefox, Safari, Opera và Konqueror.

Tính tới nay, đã có 4 lỗ hổng được "lên thớt", kèm theo đoạn mã chỉ hướng khai thác. 3 trong số này trú ngụ trong trình duyệt IE của Microsoft. Theo lời Moore thì 2 lỗi vẫn chưa được vá mặc dù chúng đã được thông báo cho Microsoft từ ngày 6/3, tức gần 4 tháng trước đây.

Lỗ hổng còn lại dành cho trình duyệt Firefox của Mozilla, song Moore cho biết lỗ hổng này đã được vá lại trong các phiên bản mới nhất của trình duyệt nguồn mở "cáo lửa".

"Blog của tôi sẽ biến thành nơi công bố các lỗ hổng và nghiên cứu bảo mật cho trình duyệt", Moore tuyên bố trên blog của mình. "Đoạn mã hack được đăng tải trên đây chỉ là ý tưởng chứ không tiết lộ cách thức cụ thể, chính xác để tiến hành một vụ tấn công từ xa".

Con số kinh hoàng

Đây chẳng phải lần đầu tiên người ta nghe thấy lỗ hổng trong bảo mật trình duyệt, song tuyên bố của Moore vẫn chứ khiến tất cả giật mình. Để mỗi ngày công bố được 1 lỗ hổng, Moore phải đang dự trữ trong tay ít nhất là vài chục lỗi trình duyệt. Điều này đồng nghĩa với sự sơ hở đến kinh người của những phần mềm này.

Moore không chấm điểm nguy hiểm hay nghiêm trọng cho những lỗ hổng đã post lên, song hãng bảo mật Secunia đã xếp một trong số này - Internet.HHCtrl Image Property vào hàng cực kỳ nguy hiểm (Highly critical).

Moore là người nổi danh trong giới bảo mật nhờ các nghiên cứu dò lỗi và tạo ra phương án khai thác chúng. Thời gian gần đây, ông chuyển hướng quan tâm sang trình duyệt Web, huy động cùng lúc nhiều công cụ "thám tử" để càn quét và tìm lỗi.

Kết quả thật khủng khiếp. "Chúng tôi có thể công bố mỗi ngày một lỗi liên tục trong 2 năm rưỡi nữa mà vẫn chưa ... hết".

Thompson, một chuyên gia diệt virus kỳ cựu tin rằng dự án "Tháng của lỗ hổng trình duyệt" có thể giúp cho người dùng kiểm tra lại máy tính và hệ thống "phòng thủ" của mình, nhưng bên cạnh đó, nó cũng có mặt trái nguy hiểm.

"Có lí gì mà kẻ xấu không nghiên cứu những phát hiện đó. Tuy không phải lộ trình cụ thể nhưng chúng cũng đã có trong tay một đầu mối rất tốt".

Xem thêm