Bài liên quan
Để bảo vệ người dùng trước lỗ hổng bảo mật POODLE, Google sẽ không hỗ trợ giao thức SSL 3.0 trên phiên bản Chrome 40 sắp ra mắt.

Theo Computerworld, nhằm giúp người dùng luôn an toàn trước các cuộc tấn công POODLE cũng như một số lỗ hổng khác trong SSL 3.0, hãng công nghệ Mỹ được tường thuật sẽ gỡ bỏ khả năng hỗ trợ giao thức “kết nối HTTP an toàn” già cỗi này khỏi phiên bản tiếp theo của trình duyệt Chrome, tức phiên bản Chrome 40.

Quyết định này được đưa ra sau khi các nhà nghiên cứu bảo mật tại Google phát hiện một “lỗ hổng thiết kế nguy hiểm” trong giao thức SSL 3.0. Với tên gọi POODLE, lỗ hổng này cho phép một kẻ tấn công “đứng giữa” dễ dàng khôi phục các thông tin nhạy cảm ở dạng văn bản thuần túy như cookie định dang từ một kết nối HTTPS được mã hóa với giao thức SSLv3 (tức SSL 3.0).


POODLE được đánh giá là lỗ hổng bảo mật nghiêm trọng nhất từng phát hiện trên giao thức SSL 3.0
Mặc dù POODLE là vấn đề bảo mật lớn nhất từng được phát hiện trên SSL 3.0 từ trước đến nay, nhưng POODLE không phải là điểm yếu duy nhất của giao thức này.

Giao thức SSL 3.0 được thiết kế từ giữa những năm 1990 và hỗ trợ những bộ mã (dùng cho tác vụ mã hóa) lỗi thời vốn hiện được xem là “không an toàn” dưới quan điểm về mật mã.

Các kết nối an toàn HTTPS ngày nay thường sử dụng giao thức TLS (Transport Layer Security) phiên bản 1.0, 1.1 hay 1.2. Tuy nhiên, đại đa số trình duyệt và máy chủ vẫn duy trì khả năng hỗ trợ giao thức SSL 3.0 trong suốt nhiều năm qua - trình duyệt hỗ trợ kết nối an toàn với máy chủ đời cũ, còn máy chủ lại hỗ trợ kết nối an toàn cho các trình duyệt thậm chí còn cũ hơn nữa).

Sự hỗ trợ mắc xích như thế này là điều mà các chuyên gia bảo mật từ lâu nay muốn thay đổi và thật may là POODLE đã xuất hiện dẫu có phần hơi muộn.

Sự nghiêm trọng của lỗ hổng bảo mật POODLE đã được đẩy lên đáng kể bởi thực tế là tin tặc có thể “chặn” một kết nối HTTPS để rồi từ đó “ép” trình duyệt trên thiết bị phải "hạ cấp" bảo mật mã hóa từ mức TLS xuống SSL 3.0 để tiện bề theo dõi và đánh cắp thông tin cá nhân của người dùng.

Hôm 14/10 vừa qua, khi lỗ hổng POODLE được công bố rộng rãi, Google cho biết hãng có ý định gỡ bỏ hoàn toàn khả năng hỗ trợ SSL 3.0 trên các ứng dụng dành cho người dùng cuối (client) trong vài tháng tới.

Theo một kỹ sư bảo mật làm việc tại Google, trình duyệt Chrome 39 hiện là bản thử nghiệm beta và sẽ được phát hành trong vài tuần nữa sẽ không tiếp tục hỗ trợ cơ chế dự phòng cho giao thức SSL 3.0 nhằm ngăn chặn giới tin tặc thực hiện chiêu thức “hạ cấp” kết nối TLS.

Còn với Chrome 40, Google có kế hoạch vô hiệu hóa hoàn toàn giao thức SSL 3.0 mặc dù hãng này cho biết sẽ vẫn "để mắt" đến những trục trặc liên quan đến khả năng tương thích có thể xảy ra.

Được biết, Google có thông lệ tung ra phiên bản nâng cấp cho trình duyệt Chrome mỗi 6 tuần. Do đó, nếu dựa vào mốc Chrome 38 được phát hành vào ngày 7/10 thì nhiều khả năng Chrome 40 sẽ ra mắt vào cuối tháng 12/2014.

Cũng theo Computerworld, các nhà sản xuất trình duyệt khác đã có hành động cụ thể, như Microsoft vừa tung ra công cụ FixIt cho phép người dùng vô hiệu hóa giao thức SSL 3.0 trên trình duyệt Internet Explorer hồi giữa tuần trước, hay Mozilla cho biết có kế hoạch mặc định vô hiệu hóa SSL 3.0 trong phiên bản Firefox 34 dự kiến phát hành vào ngày 25/11 tới đây.

Theo PCWorld

Post a Comment

 
Top

Nhận xét mới đăng tải!

Loading…
X