Hôm thứ 4 vừa qua, chín bản vá sửa lỗi phần mềm đã được phát hành cho OpenSSL, một thành phần mã hóa quan trọng để trao đổi dữ liệu trên web, mặc dù không có vấn đề nào nghiêm trọng như vấn đề với "Heartbleed" được phát hiện trong tháng Tư.
Tất cả các vấn đề đã được báo cáo trong tháng Sáu và tháng Bảy bởi các nhà phân tích an ninh với các nhà cung cấp phần mềm của Google, Codenomicon, LogMeIn và NCC Group, theo một tư vấn của OpenSSL.
Lỗ hổng HeartBleed trong phần mềm OpenSSL (Ảnh minh họa từ Internet)
Các bản vá lỗi mới nhất đã sửa một số vấn đề có thể được kích hoạt thông qua tấn công từ chối dịch vụ, có thể làm sập OpenSSL, tiêu thụ một lượng lớn bộ nhớ hoặc bị rò rỉ thông tin. Mã nguồn của OpenSSL đã được kiểm tra mạnh kể từ tháng tư, khi nhà cung cấp Codenomicon tìm ra lỗi tổn thương "Heartbleed", một lỗi rò rỉ bộ nhớ từ phía máy chủ có thể tiết lộ mật khẩu và các khóa bí mật SSL/TLS (Secure Sockets Layer/Transport Layer Security) cần thiết để giải mã lưu lượng truy cập dữ liệu được mã hóa. Ngoài ra, việc tấn công bằng cách sử dụng Heartbleed là không thể phát hiện.
Hoạt động của Giao thức SSL/TLS (Ảnh minh họa từ Internet)
Lỗ hổng Heartbleed như lời cảnh báo để quản lý chặt chẽ hơn mã nguồn của các dự án mã nguồn mở như OpenSSL được sử dụng rộng rãi trên khắp các trang web và các ứng dụng để mã hóa. Kể từ đó, OpenSSL đã được tiến hành xem xét mã nguồn và các nhà cung cấp phần mềm đã cam kết nguồn lực để sửa lỗi miễn phí cho các lỗi ứng dụng.
OpenSSL sẽ sử dụng TLS 1.0, một phiên bản của giao thức ra đời cách đây 15 năm.
Theo CIO
Thêm bình luận