Nhiều lỗi trong phần mềm OpenSSL

THUỲ MINH (Theo eWeek)

TTO - Các chuyên gia bảo mật vừa phát hiện 3 lỗi trong gói phần mềm OpenSSL. Hai trong những lỗ hổng này cho phép tin tặc chạy mã nguy hiểm trên máy tính của nạn nhân, gây ra hiện tượng từ chối dịch vụ hoặc chiếm quyền điều khiển hệ thống.

TTO -

Phóng to

Hacker có thể lợi dụng lỗi này để chạy các đoạn mã và tấn công từ chối dịch vụ

Các chuyên gia bảo mật vừa phát hiện 3 lỗi trong gói phần mềm OpenSSL. Hai trong những lỗ hổng này cho phép tin tặc chạy mã nguy hiểm trên máy tính của nạn nhân, gây ra hiện tượng từ chối dịch vụ hoặc chiếm quyền điều khiển hệ thống.

Những lỗi này đều liên quan tới cách mà gói phần mềm tương tác với với ASN.1 (Abstract Syntax Notation One), một ngôn ngữ cấp thấp được sử dụng để miêu tả cú pháp trừu tượng.

Nguy hiểm nhất trong những lỗi này là liên quan tới cách mà OpenSSL thu hồi bộ nhớ được sử dụng để lưu các cấu trúc ASN.1. Hacker có thể lợi dụng khiếm khuyết này để gây ra hiện tượng từ chối dịch vụ trên hệ thống bị lỗi.

Lỗi còn lại nhẹ hơn liên quan tới cách mà các thẻ (tag) ASN.1 được xử lý bởi OpenSSL. Một tag đặc biệt có thể gây ra hiện tượng từ chối dịch vụ trong các máy bị ảnh hưởng.

Tất cả những phiên bản trước OpenSSL đến 0.9.7c hoặc 0.9.7k, và những phiên bản Secure Sockets Layer đều bị ảnh hưởng. OpenSSL Project đã phát triển một phiên bản mới để bít những lỗ hổng này. Thông tin chi tiết và cách khắc phục người dùng có thể tham khảo tại đây.

THUỲ MINH (Theo eWeek)