xem thêm
An Giang
Bình Dương
Bình Phước
Bình Thuận
Bình Định
Bạc Liêu
icon 24h qua
Đăng nhập
icon Đăng ký gói bạn đọc VIP

Pwn20wn 2012: IE9 bị hạ gục vì lỗi zero-day

Theo DUY NGUYỄN (TTO)

VUPEN, nhóm chuyên gia bảo mật đến từ Pháp, vừa khai thác thành công hai lỗ hổng dạng zero-day trên trình duyệt Internet Explore 9 để đột nhập vào một chiếc máy tính dùng hệ điều hành Windows 7 SP1.

Chaouki Bekrar - người đứng đầu nhóm VUPEN - cho biết lỗ hổng nghiêm trọng này đã không được phát hiện trong một thời gian dài, kể cả từ phiên bản IE 6. Thậm chí với hai lỗ hổng này, IE10 trên Windows cũng sẽ bị hạ gục.

img
Như mọi năm, nhóm bảo mật VUPEN lại kiếm bộn tiền từ Pwn20wn - Ảnh: Zdnet

Ngoài ra, nhóm VUPEN còn gây sốc khi tuyên bố sau một thời gian dài nghiên cứu, nhóm đến Vancouver năm nay với rất nhiều lỗi zero-day dành cho tất cả các trình duyệt trên tất cả các hệ điều hành. Riêng với lỗi trên IE9, hai chuyên gia bảo mật của VUPEN đã làm việc liên tục trong sáu tuần.

Đại diện của Microsoft cũng có mặt tại cuộc thi Pwn20wn để chứng kiến “trò phù thủy” của VUPEN, nhưng VUPEN không tiết lộ nhiều về chi tiết của hai lỗ hổng này. VUPEN tuyên bố mình đến cuộc thi năm nay chỉ để “chứng tỏ năng lực”, còn nếu Microsoft muốn biết nhiều hơn, hãng sẽ phải trả một cái giá cao hơn mức thưởng hiện tại của Pwn20wn.

Trước đó, VUPEN cũng đã hạ được Google Chrome thông qua việc khai thác một lỗ hổng trên phần mở rộng Adobe Flash Player. Ngay sau đó, Chrome đã phát hành một bản vá lỗi để thêm một lớp lá chắn cho Flash Player.

Khác với Microsoft, Google đã rất khôn khéo khi tổ chức một cuộc thi riêng mang tên Pwnium diễn ra song song với Pwn20wn. Với cuộc thi này, Google toàn quyền sắp đặt một sự theo dõi cách thức tấn công của hacker vào Chrome, khiến những nhóm bảo mật chuyên bán lỗ hổng với giá “cắt cổ” như VUPEN không có cơ hội “làm giá” như tại Pwn20wn.

Hiện tại Google đã phát hành bản vá lỗi cho Chrome sau khi Sergey Glazunov - một sinh viên Nga - tìm ra cách hạ gục trình duyệt này cách đây vài ngày cũng tại cuộc thi Pwnium tổ chức tại Vancouver, British Columbia (xem "Google Chrome bị hạ gục dưới tay một sinh viên").

Lỗ hổng zero-day (0-day) là một thuật ngữ để chỉ những lỗ hổng chưa từng được công bố hoặc chưa được khắc phục. Lợi dụng nó, hacker và bọn tội phạm mạng có thể xâm nhập được vào hệ thống máy tính của các doanh nghiệp, tập đoàn để đánh cắp hay thay đổi dữ liệu.

Tuổi thọ trung bình của một lỗ hổng zero-day là khoảng một năm trước khi được phát hiện hoặc vá lại, nhiều lỗ hổng thậm chí còn sống "thọ" hơn thế (tiêu biểu là lỗ hổng mà VUPEN vừa công bố trên IE 9). Lỗi zero-day hiện là một món hàng đắt giá trên các phiên chợ đen của tội phạm mạng.

Lên đầu Top

Bạn cần đăng nhập để thực hiện chức năng này!

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.

Thanh toán mua bài thành công

Chọn 1 trong 2 hình thức sau để tặng bạn bè của bạn

  • Tặng bằng link
  • Tặng bạn đọc thành viên
Gia hạn tài khoản bạn đọc VIP

Chọn phương thức thanh toán

Tài khoản bạn đọc VIP sẽ được gia hạn từ  tới

    Chọn phương thức thanh toán

    Chọn một trong số các hình thức sau

    Tôi đồng ý với điều khoản sử dụng và chính sách thanh toán của nld.com.vn

    Thông báo