Clickjack – thêm một nguy cơ cho người dùng web

Kiểu tấn công mới này xảy ra trên mọi trình duyệt từ Internet Explorer,
Firefox, Opera, Safari cho đến bản gần đây nhất Google Chrome.
Microsoft và Mozilla cùng thừa nhận không dễ có giải pháp khắc phục cho
vấn đề nghiêm trọng này.

"Khi bạn vô tình truy
cập vào trang web nguy hiểm (có hình thức hoàn toàn vô hại), kẻ xấu sẽ
khiến bạn bấm vào một link, phím hoặc một vị trí bất kỳ trên trang mà
bạn còn không nhận thấy điều gì đang diễn ra", Jeremiah Grossman, Giám
đốc thông tin của hãng bảo mật WhiteHat Security (Mỹ), mô tả.

"Sau đó, trang này sẽ
biết mọi hoạt động trên Internet của bạn như bạn vào website nào, đăng
nhập thông tin gì, xem gì trên YouTube, thậm chí khống chế cả webcam và
tai nghe".

Thủ thuật này không liên
quan đến JavaScript mà dựa trên cách thức hoạt động của trình duyệt, do
đó tắt JavaScript trong trình duyệt là vô ích. Ngày 7/10, Guy
Aharonovsky, chuyên gia phát triển Flash, tung ra đoạn mã khai thác
dạng mẫu (proof-of-concept) nhằm chứng minh mức độ nguy hiểm của
clickjack.

Các chuyên gia bảo mật
đã dự định công bố lỗi này từ tháng trước nhưng một số nhà cung cấp đã
yêu cầu hoãn lại cho đến khi họ cập nhật xong phần mềm. Adobe đang nâng
cấp Flash Player, tuy nhiên sẽ chỉ có thể ngăn chặn được những cuộc
khai thác clickjack sử dụng chương trình này trong khi nhiều ứng dụng
khác vẫn tồn tại lỗi.

Theo Lê Nguyên

Advertisements
This entry was posted in Uncategorized. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s