Website các hãng bảo mật dính lỗi nguy hiểm

Theo cảnh báo của website chuyên về bảo mật XSSed, website chính thức của 3 hãng bảo mật tên tuổi McAfee, Symantec và VeriSign đều dính những lỗi bảo mật XSS nguy hiểm.

XSSed cho biết họ đã phát hiện tổng cộng tới 30 lỗi XSS (cross-site scripting) trên website của các hãng bảo mật nói trên. Tin tặc hoàn toàn có thể lợi dụng những lỗ hổng chết người này để tổ chức tấn công lừa đảo khách hàng sử dụng phần mềm của các hãng trên hoặc biến website của các hãng này thành công cụ phát tán mã độc.

Trong thời gian gần đây lỗi XSS được đánh giá có độ nguy hiểm rất cao và đang được tin tặc ưa chuộng nhằm giúp chúng có thể cấy mã độc vào các website hợp pháp giúp phát tán nhanh hơn.

Không giống như kiểu lưu trữ mã độc lên một máy chủ cố định như trước đây, hình thức phát tán này khiến mã độc rất khó bị diệt trừ tận gốc. Người dùng không thể ngờ rằng truy cập vào website hợp pháp cũng có thể bị nhiễm mã độc - nguy hiểm hơn nữa đó lại là website của hãng bảo mật.

Trong thời gian qua, hàng loạt các website nổi tiếng như MySpace.com. PayPal hay một số ngân hàng mắc lỗi XSS đều đã bị tin tặc lợi dụng để phát tán mã độc. Thống kê của ScanSafe cho thấy có 68% số lượng mã độc phát tán trong tháng 5 là thông qua các website hợp pháp mắc lỗi - tăng hơn 4 lần so với con số hồi đầu năm nay.

Ngoài ra lỗi XSS còn có thể được lợi dụng để ăn cắp thông tin cá nhân của người dùng web hoặc lợi dụng sự tín nhiệm của người dùng với website hợp pháp để tiến hành lừa đảo ăn cắp tài khoản cá nhân ... Ngày nay tin tặc đã phát triển thành công cả những công cụ tự động cho phép chúng tìm kiếm các website mắc lỗi XSS.

Trong khi đó, McAfee và các hãng bảo mật đều không đánh giá cao mức độ nguy hiểm của các lỗi XSS. Nếu so sánh với các lỗi có thể bị lợi dụng để cho phép tin tặc đoạt quyền truy cập thẳng đến dữ liệu khách hàng trên máy chủ thì lỗi XSS chả thấm vào đâu.