blog posts

Phát hiện lỗi bảo mật Java Nghiêm Trọng

Một lỗ hổng bảo mật nghiêm trọng liên quan đến plugin Java trên các trình duyệt web có thể đã ảnh hưởng đến hơn 1 tỷ máy tính trên toàn thế giới, có thể khiến hacker lợi dụng để cài đặt mã độc lên máy tính của người dùng.

Thông tin trên được công bố vào ngày hôm qua bởi Adam Gowdiak, nhà sáng lập kiêm CEO của hãng bảo mật Phần Lan Security Explorations. Theo đó, Gowdiak cho biết đã phát hiện ra một lỗ hổng bảo mật trên phần mềm Java, cho phép hacker lợi dụng để cài mã độc lên hệ thống của nạn nhân.

Tất cả máy tính Windows và Mac đều nằm trong diện nguy cơ bị ảnh hưởng bởi lỗi bảo mật này, nhất là khi họ cài đặt thêm Java trên máy tính. Trong trường hợp người dùng Mac OS X phiên bản Snow Leopard (10.6) hoặc trước đó thì khả năng bị ảnh hưởng còn cao hơn do Apple đã cài đặt sẵn Java trên những phiên bản hệ điều hành này.

Tất cả các phiên bản của Java hiện nay, bao gồm Java 5, 6 và 7 đều dính phải lỗ hổng bảo mật này.

Adam Gowdiak, nhà sáng lập kiêm CEO của hãng bảo mật Security Explorations

 

Đây không phải là lần đầu tiên Gowdiak phát hiện ra lỗ hổng bảo mật trên Java. Đầu năm nay, chuyên gia bảo mật này cũng đã tìm ra hàng loạt lỗ hổng bảo mật trên Java và lập tức thông báo đến Oracle, hãng phần mềm đứng đằng sau Java.

Không lâu sau đó, các hacker đã phát hiện ra một trong các lỗi tương tự chưa được vá và đã lợi dụng trong các cuộc tấn công phổ biến trong tháng 8. Phải đến tận 30/8 vừa qua, Oracle mới phải ra bản vá lỗi khẩn cấp để khắc phục các lỗi Java gặp phải trước đó.

Tuy nhiên, nếu lỗ hổng bảo mật trước chỉ ảnh hưởng đến phiên bản Java 7, thì lỗ hổng bảo mật mới vừa được Gowdiak phát hiện ra thậm chí còn nghiêm trọng hơn, nhất là khi nó ảnh hưởng đến toàn bộ các phiên bản Java.

“Lỗ hổng bảo mật này có khả năng ảnh hưởng đến số lượng lớn máy tính có cài đặt Java”, Gowdiak cho biết. “Lỗ hổng này ảnh hưởng đến mọi phiên bản, từ Java 5,6 và 7. Chúng tôi thậm chí đã thử nghiệm với phiên bản Java 7 Update 10 mới nhất, được ra mắt vào ngày 20/9 vừa qua, tuy nhiên phiên bản này cũng có chứa lỗ hổng bảo mật tương tự”.

Theo các số liệu thống của Oracle về số lượng người dùng đã cài đặt Java trên máy tính của họ, Gowdiak ước tính sẽ có 1 tỷ máy tính trên toàn cầu đang chứa lỗ hổng bảo mật này và chưa được vá.

Tuy nhiên, Gowdiak cũng đã lên tiếng trấn an dư luận khi cho rằng chưa có hacker nào khám phá ra và khai thác lỗ hổng bảo mật này, chí ít là cho đến hiện tại.

“Chúng tôi chưa nhận thấy bất kỳ cuộc tấn công nào dựa trên lỗ hổng này”, Gowdiak cho biết.

Sau khi được Gowdiak báo cáo về lỗ hổng bảo mật mới, Oracle đã xác nhận về lỗi này và cho biết sẽ tung ra bản vá lỗi trong phiên bản được ra mắt tiếp theo. Tuy nhiên, theo dự kiến, phải đến tận 16/10, Oracle mới ra mắt phiên bản Java mới nhất.

Khi được hỏi lý do tại sao Gowdiak lại công bố thông tin này rộng rãi ra bên ngoài, thay vì đợi cho đến khi Java phát hành bản vá lỗi, bởi lẽ dựa vào thông tin này, hacker có thể tìm hiểu và khai thác xem lỗ hổng bảo mật trên Java là gì, Gowdiak cho biết:

“Vẫn còn 3 tuần nữa trước khi Oracle tung ra bản vá lỗi cho Java, do vậy tôi muốn đưa ra lời cảnh báo sớm nhất cho mọi người trên toàn cầu để có biện pháp đề phòng thích hợp”.

Bên cạnh đó, với việc công bố thông tin rộng rãi ra công chúng và được các phương tiện truyền thông đăng tải sẽ là một biện pháp để ép Oracle phải nhanh tay hơn nữa trong việc tung ra bản vá lỗi của mình.

Để tự bảo vệ mình, Gowdiak và các chuyên gia bảo mật khuyên người dùng hãy vô hiệu hóa plugin trên tất cả các trình duyệt web, kể cả Firefox, Internet Explorer, Chrome, Safari hay Opera… và chờ cho đến khi Oracle tung ra bản vá lỗi mới nhất của mình.

Theo ComputerWorld, Dantri