Hãng bảo mật Qualys vừa đưa ra một kết quả đáng giật mình: khoảng 80% số người khi lướt web có nguy cơ bị hacker tấn công bởi những lỗ hổng nghiêm trọng trong các plugin (phần bổ trợ) cho trình duyệt web.
>>> Kaspersky Lab ra mắt sản phẩm antivirus cho Android
Người dùng nên cập nhật các phần bổ trợ của trình duyệt để tránh bị tin tặc lợi dụng. (Ảnh: Flickr.)
Phát hiện của Qualys vừa được trình bày tại hội nghị an ninh RSA, dựa trên dữ liệu thu thập được từ máy quét trình duyệt BrowserCheck miễn phí. Bộ máy của Qualys có thể dò tìm những lỗ hổng của các plugin trình duyệt và một số phần mềm trên máy tính đã quá hạn mà không được cập nhật.
Tùy thuộc vào hệ điều hành mà công cụ trên có thể kiểm tra độ an toàn của các phiên bản trình duyệt, cũng như các phần mềm phổ biến như Adobe Flash Player, Adobe Reader, Adobe Shockwave Player, Java Runtime Environment, Apple Quicktime, BEA JRockit, DivX Web Player, Foxit Reader, Flip4Mac Windows Media plugin , Microsoft Silverlight, Microsoft Windows Media Player, Novell Moonlight, Real Player, Totem Media Player, VLC Media Player, Yahoo BrowserPlus và Windows Presentation Foundation plugin.
Chỉ riêng với hệ điều hành Window, trong số những người sử dụng BrowserCheck có 47% người dùng Window XP, 32% đang sử dụng Window 7. Trong đó có 36% người dùng quét trên trình duyệt Internet Explorer 8, Firefox 3.6 chiếm 34%. Plugin phổ biến nhất vẫn là Flash, chiếm 97% trên tổng số máy tính, theo sau là Window Media Player với tỷ lệ 95%, các vị trí tiếp theo gồm Adobe Reader và Java Runtime (đều khoảng 80%) và Silverlight (65%). Các plugin này đều là những phần bổ trợ xem các nội dung đa phương tiện trên trình duyệt.
Các con số thống kê cho thấy từ 25-30% người dùng không cập nhật bảo mật cho trình duyệt của mình. Plugin Java là phần bổ sung dễ bị tổn thương nhất với hơn 40% bản cài đặt quá hạn không được cập nhật, Adobe Reader chiếm vị trí “á quân” với tỉ lệ 32%. Quicktime và Flash không hề kém cạnh nhau (25% và 24%) trong khi Shockwave (21%) chốt ở vị trí thứ năm.
Theo các tính toán của Qualys, khoảng 80% người dùng dùng trình duyệt chứa những plugin không an toàn. Hay nói cách khác, cứ mười người lướt web thì có đến tám người mắc nguy cơ bị tin tặc tấn công!
Java đứng đầu trong những plugin thườg xuyên bị khai thác lỗ hổng. (Ảnh: javablog)
“Quán quân” Java có số lượng các bản cài đặt quá hạn cập nhật nhiều nhất, các công cụ khai thác lỗ hổng của Java được cung cấp tràn lan trên mạng cũng có thể triệt hạ plugin này với tỉ lệ thành công cao nhất. Nguyên nhân được cho là khả năng cập nhật của plugin Java đã không làm việc tốt.
Adobe Reader cũng “chung số phận” với Java nhưng đã sớm có phương án cải thiện. Bằng chứng là chỉ sau hai tháng được phát hành, Adobe Reader X (phiên bản mới nhất, đi kèm với công nghệ Sandboxing - tạo môi trường hạn chế gây hại đến hệ thống) đã được cập nhật cho hơn 60% máy tính cài đặt Adobe Reader.
Qua những con số đáng giật mình từ Qualys, có thể trong thời gian tới các nhà cung cấp trình duyệt sẽ dùng những biện pháp mạnh tay nhằm bắt buộc người dùng cập nhật các plugin và các thành phần mở rộng. Trình duyệt Google Chrome đã tiên phong với việc tự động vô hiệu hóa các plugin đã quá hạn mà không được cập nhật mới.