Sở TT&TT Bình Thuận cảnh báo nguy cơ hacker tấn công qua lỗ hổng OpenSSL
时间:2025-01-31 02:27:48 出处:Công nghệ阅读(143)
 |
Lỗ hổng mới nguy hiểm như thế nào?ởTTTTBìnhThuậncảnhbáonguycơhackertấncôngqualỗhổtin tức thể thao
Theo website Sở TT&TT Bình Thuận, lỗ hổng mới trong bộ thư viện OpenSSL mới được công bố vào ngày 1/3/2016 còn được gọi là tấn công DROWN "Decrypting RSA with Obsolete and Weakened eNcryption”, nghĩa là "Giải mã RSA có mã hóa lỗi thời và suy yếu", cho phép tin tặc thực hiện giải mã các kết nối mạng sử dụng giao thức mã hoá SSLv2 dựa trên điểm yếu trong quá trình bắt tay.
Lỗ hổng có tên mã quốc tế là CVE-2016-0800. Lỗ hổng DROWN lợi dụng điểm yếu trong việc thực hiện giao thức bảo mật SSLv2 và TLS, và được khẳng định là lỗ hổng nghiêm trọng trong OpenSSL, hệ thống thi hành SSL và TLS.
DROWN được miêu tả như một cuộc tấn công chi phí thấp có thể giải mã các liên lạc HTTPS an toàn, nhạy cảm, bao gồm mật khẩu và thông tin thẻ tín dụng chỉ trong vài giờ, hoặc gần như ngay lập tức trong một số trường hợp.
Khai thác thành công điểm yếu này, tin tặc có thể lấy được bất kỳ thông tin, dữ liệu nào được truyền trên kênh đã mã hoá bao gồm cả những thông tin như tài khoản người dùng, thông tin thẻ tín dụng…
Về cơ bản, một máy chủ có thể bị tấn công DROWN khi có hỗ trợ kết nối sử dụng giao thức SSLv2; không sử dụng SSLv2 nhưng chia sẻ cặp khoá với máy chủ khác sử dụng SSLv2 (có nhiều đơn vị thường sử dụng một chứng chỉ cho nhiều dịch vụ trên cùng một máy chủ hoặc nhiều máy chủ).
Lỗ hổng này do hai chuyên gia an toàn thông tin có tên Nimrod Aviram và Sebastian Schinzel thông báo vào ngày 29/12/2015 và hiện tại các nhà phát triển OpenSSL xác nhận và đưa ra bản vá kịp thời. Theo đó một biến thể của tấn công DROWN với nhiều kịch bản bẻ khoá khác cũng được trình bày và tồn tại trên các phiên bản OpenSSL trước đó.
Mức độ ảnh hưởng của lỗ hổng
Theo đánh giá của các chuyên gia trên thế giới, hơn 33% máy chủ HTTPS có nguy cơ bị tấn công DROWN, có tới 11,5 triệu máy chủ trên thế giới bao gồm cả Yahoo, Alibaba, Weibo, Sina, BuzzFeed, Flickr, StumbleUpon, 4Shared và Samsung đều có khả năng bị ảnh hưởng.
上一篇: Nhận định, soi kèo Al Ain vs Al Safa, 20h00 ngày 27/1: Tin vào chủ nhà
下一篇: Nhận định, soi kèo Club Necaxa vs Cruz Azul, 10h05 ngày 29/1: Đâu dễ cho cửa trên
猜你喜欢
- Nhận định, soi kèo nữ Necaxa vs nữ Pumas UNAM, 7h00 ngày 28/1: Khách lấn chủ
- Nhận định, soi kèo U19 Bồ Đào Nha với U19 Hy Lạp, 01h00 ngày 21/3: Sức mạnh 'chiếu trên'
- Ca sĩ Sunny Đan Ngọc đẹp nền nã trong áo dài đầu xuân
- Jennifer Lopez mặc vest không nội y khoe đường cong tuổi 53
- Nhận định, soi kèo Al Nasr vs Dhofar, 23h15 ngày 28/1: Khách tự tin
- Nghệ sĩ Tuấn Gà đột ngột qua đời vì bạo bệnh
- Á quân Bolero Tú Tri hoãn sinh con để đóng phim với chồng chuyển giới
- Nhận định, soi kèo U21 Sunderland với U21 Leicester, 02h00 ngày 23/03: Mèo đen có điểm
- Nhận định, soi kèo Burnley vs Leeds United, 3h00 ngày 28/1: Khó thắng