Lỗi QuickTime đe doạ Mac, Windows

Chuyên gia nghiên cứu bảo mật Dino Dai Zovi - người giành chiến thắng trong cuộc thi Hack-a-Mac tuần trước - cho biết lỗ hổng bảo mật mà ông đã sử dụng để đột nhập hệ thống Apple MacBook Pro là một lỗi trong QuickTime.

Lỗ hổng bảo mật nói trên liên quan đến phương thức xử lý Java của ứng dụng đa phương tiện QuickTime. Lỗi này có thể bị khai thác thông qua trình duyệt Safari hoặc Firefox. Mã khai thác mà Dai Zovi lập trình nên trong cuộc thi tấn công qua trình duyệt Safari.

Dai Zovi cảnh báo QuickTime chạy trên nền tảng Windows cũng có thể mắc lỗi bảo mật này. "Windows PC có cài đặt Firefox và QuickTime có thể sẽ phải đối mặt với nguy cơ bị tấn công".

Hãng bảo mật Secunia xếp lỗi QuickTime vào mức cao nhất trong thang bậc đánh giá mức độ nguy hiểm của các lỗi bảo mật. "Bởi lỗi này có thể bị lợi dụng để từ xa thực thi mã độc trên hệ thống của người dùng nếu họ truy cập vào một trang web độc hại".

Trong bài thi của mình Dai Zovi cũng đã yêu cầu các nhà tổ chức truy cập vào một trang web độc hại thông qua trình duyệt Safari để giúp ông tấn công hệ thống qua lỗi QuickTime. Phương thức khai thác lỗi này giống hệt như trên hệ điều hành Windows.

Bài thi đã mang lại cho Dai Zovi giải thưởng lên tới 10.000 USD.

Apple từ chối bình luận về lỗ hổng bảo mật QuickTime. Tuy nhiên, người phát ngôn của hãng khẳng định hãng rất chú trọng đến các vấn đề bảo mật và sẽ nhanh chóng có giải pháp khắc phục mọi vấn đề phát sinh.

Chi tiết về lỗi bảo mật hiện vẫn còn được giữ kín và chỉ được tiết lộ khi nào Apple cho khắc phục. Trong thời gian chờ đợi bản vá lỗi chuyên gia Dai Zovi khuyến cáo người dùng nên vô hiệu hoá tính năng Java của trình duyệt.

Hoàng Dũng