Facebook, MySpace dính lỗi chết người

Người dùng Facebook và MySpace đang phải đối mặt với nguy cơ bị tấn công sau khi mã khai thác một lỗi bảo mật chết người ứng dụng tải ảnh tích hợp trong các mạng xã hội ảo này được phát tán lên mạng Internet.

Chuyên gia nghiên cứu bảo mật Elazar Broad là người đã phát hiện và cho công bố lỗi bảo mật này thông qua danh sách email bảo mật Full Disclosure. Mã khai thác lỗi ngay sau đó đã được phát tán rộng rãi thông qua website milw0rm.com.

Hãng bảo mật Secunia cho biết nguồn gốc của lỗi bảo mật là một lỗi biên (boundary error) phát sinh khi ActiveX Control Aurigma.ImageUploader.4.1 thuộc ứng dụng tải ảnh Aurigma Image Uploader tiến hành xử lý chuỗi ký tự gán cho thuộc tính “Action”.

Để khai thác thành công lỗi này tin tặc chỉ cần gán một chuỗi ký tự dài cho thuộc tính “Action”. Nếu thành công chúng sẽ tạo ra tình trạng tràn bộ nhớ đệm tạo điều kiện cho phép chúng từ xa được thực thi mã độc trên PC sử dụng phần mềm mắc lỗi. Secunia xếp lỗi này vào mức “cực kỳ nguy hiểm”.

Phiên bản ImageUploader4.ocx v4.5.70.0 đã được khẳng định mắc lỗi trên đây. Tuy nhiên, Secunia cảnh báo các phiên bản cũ hơn cũng có thể mắc lỗi. Hiện vẫn chưa có bất kỳ bản sửa lỗi nào được phát hành.