Hôm 7-4, các nhà nghiên cứu bảo mật đã phát hiện ra một lỗi cực kỳ nghiêm trọng trong thư viện mã hoá OpenSSL, có thể đe doạ an toàn bảo mật của hơn 2/3 mạng Internet. Được đặt tên là lỗi Heartbleed (Trái tim chảy máu) và biết đến chính thức với tên gọi là CVE-2014-0160, lỗi này có thể cho phép kẻ tấn công chiếm đoạt các thông tin mã hoá như mật mã và các thông tin danh tính.
Lỗi OpenSSL CVE-2014-0160 được đặt tên nickname Heartbleed. Nguồn: Clever Cloud
Thư viện phần mềm mã nguồn mở OpenSSL được biết đến như là thư viện bảo mật phổ biến nhất, sử dụng trong các server web Apache và nginx, cung cấp tính các năng mã hoá cho khoảng 66% các trang web và dịch vụ trực tuyến trên mạng Internet. Cảnh báo về lỗi bảo mật Heartbleed được các nhà nghiên cứu công bố trùng với thời điểm phiên bản 1.0.1g của OpenSSL được cho ra mắt. Nhưng lỗi này đã tồn tại trong OpenSSL được gần 2 năm và vì nó không để lại dấu vết gì nên cũng khó có thể biết được liệu có kẻ tấn công nào đã tận dụng lỗi này hay chưa.
Hiện tại các bên đang xem xét tạo ra các biện pháp an toàn để ngăn chặn các cuộc tấn công sử dụng lỗi này. Trong khi đó các nhà nghiên cứu bảo mật đang dựng nên những mục tiêu giả “Honeyspot" để dụ các kẻ tấn công, xác định xem lỗi Heartbleed đã từng được sử dụng hay chưa.
Bình luận (0)