Apple hôm qua cho biết 3 lỗ hổng bảo mật trên trình duyệt web Safari trong đó có 1 lỗ hổng trên phiên bản dành cho Windows đã được vá. Một lần nữa, vấn đề bảo mật lại liên quan đến lỗ hổng DLL Hijacking (chiếm quyền tải tập tin DLL) mà uTorrent đã đề cập trước đây. Bên cạnh Apple thì Mozilla cũng đã liên tiếp tung 15 bản vá nhằm khắc phục lỗ hổng nguy hiểm này.
Trong các gói cập nhật cho trình duyệt Safari phiên bản 5.0.2 và 4.1.2, Apple đã đề cập đến một lỗ hổng mà hacker có thể khai thác bằng cách lừa người dùng tải về các tập tin tưởng chừng vô hại và đây cũng chính là lỗi DLL Hijacking.
Tháng trước, HD Moore, trưởng bộ phận an ninh của Rapid7 kiêm nhà sáng lập Metasploit, cho biết rất nhiều ứng dụng trên Windows đang tồn tại những lỗ hổng do chúng tải tập tin DLL chứa mã độc và tạo cơ hội cho hacker chiếm quyền kiểm soát máy tính.
Các nhà nghiên cứu khác cũng tính toán hơn 200 ứng dụng dành cho Windows khác nhau có thể bị khai thác, trong đó cũng bao gồm các trình duyệt web như Safari, Opera, Mozilla Firefox và Google Chrome.
Lỗ hổng bảo mật trên Apple Safari do công ty bảo mật Acros Security (Slovenia) phát hiện. Giám đốc điều hành Acros - Mitja Kolsek cho biết: "Đây là một lỗi cấy nhị phân (binary planting), nó không chỉ liên quan đến tập tin DLL mà còn cả tập tin thực thi EXE." Theo Acros thì các lỗ hổng này đã mở rộng sang các tập tin .exe giả mạo và hacker có thể khai thác các lỗ hổng này theo cách tương tự với tập tin .dll bằng cách đánh lừa các ứng dụng tải về tập tin .exe chứa mã độc. Không phải phần mềm nào trên Windows cũng có thể bị khai thác lỗ hổng trên cả 2 dạng tập tin DLL và EXE, tuy nhiên, Safari lại nằm trong nhóm này.
Bên cạnh lỗi chiếm quyền tải tập tin DLL thì Apple cũng vá 2 lỗi khác trong tất cả các phiên bản Safari trên Mac. Công ty cho biết lỗ hổng này tồn tại trong bộ máy nguồn mở WebKit mà cả Safari lẫn Google Chrome sử dụng. Cả 2 lỗ hổng đều có thể bị hacker tấn công trực tiếp khi người dùng mở các trang web chứa mã độc. Ngoài ra, Apple cũng đề cập đến một lỗ hổng còn tồn tại trên QuickTime plug-in dành cho trình duyệt Internet Explorer và hiện các hacker vẫn không ngừng khai thác lỗ hổng này.
Người dùng có thể tải phiên bản 4.1.2 và 5.02 của Safari dành cho Mac OS X 10.5 (Leopard), Mac OS X 10.6 (Snow Leopard), Mac OS X 10.4 (Tiger) (Safari 4.1.2), Windows XP/Vista/7 tại đây. Người dùng Mac OS X sẽ được thông báo phiên bản mới tự động trên trình duyệt còn người dùng Safari trên Windows sẽ phải cập nhật qua công cụ Apple Software Update.
Trong các gói cập nhật cho trình duyệt Safari phiên bản 5.0.2 và 4.1.2, Apple đã đề cập đến một lỗ hổng mà hacker có thể khai thác bằng cách lừa người dùng tải về các tập tin tưởng chừng vô hại và đây cũng chính là lỗi DLL Hijacking.
Tháng trước, HD Moore, trưởng bộ phận an ninh của Rapid7 kiêm nhà sáng lập Metasploit, cho biết rất nhiều ứng dụng trên Windows đang tồn tại những lỗ hổng do chúng tải tập tin DLL chứa mã độc và tạo cơ hội cho hacker chiếm quyền kiểm soát máy tính.
Các nhà nghiên cứu khác cũng tính toán hơn 200 ứng dụng dành cho Windows khác nhau có thể bị khai thác, trong đó cũng bao gồm các trình duyệt web như Safari, Opera, Mozilla Firefox và Google Chrome.
Lỗ hổng bảo mật trên Apple Safari do công ty bảo mật Acros Security (Slovenia) phát hiện. Giám đốc điều hành Acros - Mitja Kolsek cho biết: "Đây là một lỗi cấy nhị phân (binary planting), nó không chỉ liên quan đến tập tin DLL mà còn cả tập tin thực thi EXE." Theo Acros thì các lỗ hổng này đã mở rộng sang các tập tin .exe giả mạo và hacker có thể khai thác các lỗ hổng này theo cách tương tự với tập tin .dll bằng cách đánh lừa các ứng dụng tải về tập tin .exe chứa mã độc. Không phải phần mềm nào trên Windows cũng có thể bị khai thác lỗ hổng trên cả 2 dạng tập tin DLL và EXE, tuy nhiên, Safari lại nằm trong nhóm này.
Bên cạnh lỗi chiếm quyền tải tập tin DLL thì Apple cũng vá 2 lỗi khác trong tất cả các phiên bản Safari trên Mac. Công ty cho biết lỗ hổng này tồn tại trong bộ máy nguồn mở WebKit mà cả Safari lẫn Google Chrome sử dụng. Cả 2 lỗ hổng đều có thể bị hacker tấn công trực tiếp khi người dùng mở các trang web chứa mã độc. Ngoài ra, Apple cũng đề cập đến một lỗ hổng còn tồn tại trên QuickTime plug-in dành cho trình duyệt Internet Explorer và hiện các hacker vẫn không ngừng khai thác lỗ hổng này.
Người dùng có thể tải phiên bản 4.1.2 và 5.02 của Safari dành cho Mac OS X 10.5 (Leopard), Mac OS X 10.6 (Snow Leopard), Mac OS X 10.4 (Tiger) (Safari 4.1.2), Windows XP/Vista/7 tại đây. Người dùng Mac OS X sẽ được thông báo phiên bản mới tự động trên trình duyệt còn người dùng Safari trên Windows sẽ phải cập nhật qua công cụ Apple Software Update.
Nguồn: Computerworld
