Sau khi khiến nhiều dịch vụ web "'điêu đứng" vì lỗ hổng Heartbleed, OpenSSL lại để lộ thêm nhiều điểm yếu khác.
Vào tháng 4, OpenSSL đã khiến cả thế giới bảo mật sững sờ khi bị phát hiện gây ra lỗ hổng bảo mật nghiêm trọng có tên "Heartbleed" gây ảnh hưởng tới hàng triệu máy chủ trên toàn cầu. Tuy vậy, các chuyên gia bảo mật cho rằng lỗ hổng mới bị phát hiện trên OpenSSL không nguy hại như Heartbleed.
Những lỗ hổng bảo mật nói trên đã được công bố chính thức vào ngày thứ Năm (5/6) vừa qua, sau khi nhóm phát triển OpenSSL tung ra một bản cập nhật mới cho phần mềm mã hóa miễn phí này.
Các chuyên gia bảo mật cho biết tất cả các trang web và công ty công nghệ có sử dụng OpenSSL cần phải cài đặt bản cập nhật mới càng sớm càng tốt. Tuy vậy, theo các chuyên gia này, có thể việc cài đặt bản vá sẽ mất nhiều tuần lễ, do các công ty cần phải thử nghiệm các hệ thống nhằm đảm bảo tính tương thích với bản cập nhật mới.
"Họ sẽ phải thực hiện vá lỗi. Điều này sẽ tốn rất nhiều thời gian", Lee Weiner, phó chủ tịch công ty phần mềm Rapid7 khẳng định.
Hiện tại, công nghệ OpenSSL đang được sử dụng bởi khoảng 2/3 các trang web toàn cầu, bao gồm cả các dịch vụ lớn như Facebook, Google và Yahoo. Công nghệ này cũng được tích hợp vào hàng nghìn sản phẩm của các tên tuổi lớn như HP, IBM, Intel, Oracle và Cisco.
Lỗ hổng Heartbleed được hé lộ vào tháng 4 vừa qua. Theo phát hiện của các chuyên gia bảo mật thì khi đó lỗ hổng bảo mật này có thể giúp hacker đánh cắp các khối lượng dữ liệu người dùng khổng lồ mà không để lại dấu vết gì. Điều này có nghĩa rằng các trang web, dịch vụ lớn có thể đã bị tấn công bí mật và các nạn nhân cũng không thể xác nhận liệu họ có thực sự bị tấn công hay không.
Các lỗ hổng bảo mật mới được công bố vào ngày thứ Năm vừa qua có độ nghiêm trọng thấp hơn Heartbleed, do đó sẽ gây đe dọa ít hơn. Song, cho đến khi các trang web và phần mềm có sử dụng OpenSSL hoàn thành cập nhật, các hacker vẫn có thời gian để tiến hành khai thác và thực hiện các cuộc tấn công tinh vi nhắm vào người dùng.