Nhà cung cấp dịch vụ thanh toán trực tuyến PayPal cho biết đã khắc phục xong lỗi bảo mật XSS (cross-site scripting) mới được một chuyên gia nghiên cứu bảo mật tiết lộ cuối tuần trước.
Hãng bảo mật Netcraft Ltd cho biết Harry Sintonen đã tiết lộ lỗi với hãng thông qua một dịch vụ “chat” trực tuyến. Chuyên gia nghiên cứu bảo mật này cảnh báo mặc dù XSS không phải là lỗi nguy hiểm như vì website của PayPal sử dụng chứng thực bảo mật Extended Validation (EV) SSL nên đã khiến mức độ nguy hiểm tăng lên bội phần.
Sintonen cho biết lợi dụng lỗi này ông có thể chèn thêm nhiều mã nguồn hoặc bổ sung thêm những thông điệp khác trên màn hình trình duyệt của người dùng.
“Ngay sau khi nhận được thông tin về lỗi bảo mật nói trên, chúng tôi đã khẩn trương nghiên cứu tìm giải pháp khắc phục. Đến nay PayPal xin thông báo lỗi đã được sửa xong,” Michael Olderburg – người phát ngôn của PayPal – cho biết.
“Theo những gì có trong tay, chúng tôi dám khẳng định chưa có bất kỳ vụ tấn công lừa đảo nào được thực hiện thông qua việc khai thác lỗi trên đây”.
XSS là lỗi thường bị tin tặc lợi dụng để ăn cắp thông tin cá nhân hoặc tiến hành lừa đảo người dùng. Nếu khai thác thành công lỗi này tin tặc hoàn toàn có thể chèn thêm nhiều mã nguồn độc hại vào website hợp pháp hoặc sử dụng website đó vào mục đích khác.
Cuối tháng trước website của ứng cử viên thông tổng Mỹ Barack Obama cũng bị phát hiện mắc lỗi XSS. Hacker đã lợi dụng lỗi này để chuyển hướng người dùng truy cập website của ông Obama sang website của bà Hillary Clinton.
Hoàng Dũng – Ngan;uong.vn(Computerworld)
0 nhận xét :
Post a Comment
♦ Mời bạn gửi Nhận xét của mình. Bạn có thể nhận xét bằng cách chọnComment as là Tên/URL hay Ẩn danh. Tuy nhiên bạn nên chọn Tên/URL với URL có thể để trống. Bạn vui lòng gõ tiếng Việt có dấu.
♦ Bấm vào Đăng ký qua email [Subscribe by email] để đăng ký theo dõi nhận xét của bài này.
♦ Các bạn tự chịu trách nhiệm với Nhận xét của mình. Nhận xét của bạn cho biết Bạn là ai? Là người như thế nào?.