Google vá lỗ hổng trên website

Ngày 10/10, Google thông báo đã vá một lỗ hổng bảo mật trên Website của hãng này, từng cho phép thực hiện các cuộc tấn công phishing, đánh cắp tài khoản và một số kiểu tấn công khác.

Theo công ty bảo mật Finjai, hãng đã phát hiện ra lỗ hổng, sự cố bảo mật trên nằm trong chương trình quảng cáo AdWords và site đào tạo khách hàng của cổng thông tin Google. Đây là dạng lỗ hổng "cross-site scriting".

Kẻ tấn công có thể khai thác lỗ hổng để đánh cắp tài khoản khách hàng Google, hoặc khởi phát các cuộc tấn công phishing, hay thậm chí là điều khiển máy tính nạn nhân tải mã độc hại xuống hệ thống.

Finjai đã thông báo cho Google lỗ hổng từ cuối tháng trước và nó đã được sửa chữa sau một thời gian ngắn sau đó. Nguyên nhân của lỗ hổng là do trang web Google không hợp thức hoá và lọc dữ liệu đưa vào một số trường cụ thể. Sai sót này cho phép kẻ tấn công có thể chèn thêm nội dụng và các đoạn script nguy hiểm chạy trên máy tính.

"Cross-site scripting" là dạng lỗ hổng khá phổ biến trên các website. Đầu năm vừa rồi, Finjan cũng phát hiện một lỗ hổng tương tự trên website Xbox 360 của Microsoft; và sau đó là trong dịch vụ e-mail của Yahoo.