Đặt báo Đăng ký Tuổi Trẻ Sao Vào trang Tuổi Trẻ Sao
21/09/2010 11:26 GMT+7

Microsoft xác nhận và cảnh báo lỗi nguy hiểm từ ASP.NET

PHONG VÂN tổng hợp
PHONG VÂN tổng hợp

TTO - Microsoft vừa xác nhận và cảnh báo về một lỗi có mức độ nguy hiểm rất cao trong ASP.NET đe dọa hàng loạt website sử dụng nền tảng này.

Người phát hiện lỗ hổng của MicrosoftMùa "World Cup" của hacker"Tất cả có thể bắt đầu bằng một ước mơ"

90uwbc17.jpgPhóng to
Ảnh minh họa: Internet

Lỗi nằm trong tiến trình được sử dụng bởi các ứng dụng ASP.NET để mã hóa cookie và các thành phần thông tin khác. Lỗi này được hai chuyên gia bảo mật Dương Ngọc Thái và Juliano Rizzo công bố.

Nền tảng ASP.NET sử dụng chế độ mã hóa dữ liệu Encryption Standard (AES) trong Cipher Block Chaining (CBC) nhưng chế độ này lại không thể chống lại kiểu tấn công có tên gọi Padding Oracle Attacks PDF vốn được hai chuyên gia bảo mật Dương Ngọc Thái và Juliano Rizzo khám phá. Theo đó, những dữ liệu được mã hóa như cookie có thể bị giải mã mà không cần khóa.

Ngọc Thái và Juliano Rizzo cũng đã phát hành công cụ khai thác POET (Padding Oracle Exploit Tool) vào tháng 6-2010. (Xem video clip giới thiệu về POET tại đây)

Theo Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thì lỗi nguy hiểm trên dẫn tới việc kẻ tấn công có thể thăm dò để tìm ra khóa giải mã trong một thời gian ngắn. Cụ thể là kẻ tấn công khai thác vào lỗ hổng này có thể tìm ra khóa giải mã để đọc nội dung những thông tin đã được mã hóa. Từ đó, kẻ xấu có thể thực hiện các thao tác tấn công leo thang để chiếm quyền điều khiển hệ thống.

Microsoft xác nhận lỗi này ảnh hưởng đến tất cả các phiên bản của ASP.NET. Theo đó, nếu lỗi được tin tặc triển khai khai thác thì khoảng 25% website đang sử dụng ASP.NET trên toàn cầu sẽ bị đe dọa.

"Đó là chưa kể một số lượng rất lớn các ứng dụng nội bộ của các doanh nghiệp. Ở VN, theo quan sát của tôi, mức độ ảnh hưởng còn nghiêm trọng hơn. Rất nhiều ngân hàng và tổ chức tài chính lớn sử dụng ASP.NET để phát triển các website quan trọng như Internet Banking hay giao dịch chứng khoán. Khai thác lỗ hổng này, kẻ tấn công có thể “chôm” tài khoản của khách hàng hoặc thậm chí xâm nhập vào máy chủ của các tổ chức này", chuyên gia bảo mật Dương Ngọc Thái nhận định.

Hiện chưa có bản vá chính thức từ Microsoft. Hãng này sẽ phải phát hành bản vá cho từng phiên bản của hệ điều hành Windows, từ XP SP3 cho đến Windows Server 2003, Windows 7 và Server 2008 R2 cũng như máy chủ web IIS và SharePoint.

Nhóm nghiên cứu bảo mật của Microsoft đã cung cấp thông tin cách xử lý tạm thời và một gói mã để giúp những quản trị viên kiểm tra các lỗi cấu hình cho những ứng dụng ASP.NET. Bạn đọc quan tâm có thể tham khảo tại đâyhoặc từ website ASP.NET.

Đọc tiếp Về trang Chủ đề
PHONG VÂN tổng hợp
Trở thành người đầu tiên tặng sao cho bài viết 0 0 0
Bài viết hay? Tặng sao cho Tuổi Trẻ

Tặng sao

Chuyển sao tặng cho thành viên

  • x1
  • x5
  • x10

Hoặc nhập số sao

Bạn đang có: 0 sao

Tặng sao

Tuổi Trẻ Online Newsletters

Đăng ký ngay để nhận gói tin tức mới

Tuổi Trẻ Online sẽ gởi đến bạn những tin tức nổi bật nhất

Đăng ký
Bình luận (0)
thông tin tài khoản
Được quan tâm nhất Mới nhất Tặng sao cho thành viên
    Chủ đề: Padding Oracle Attacks Duong Ngc Thái

    Tin cùng chuyên mục

    Tuổi Trẻ Sao

    Thông tin tài khoản ngày

    Tài khoản được sử dụng đến ngày | Bạn đang có 0 trong tài khoản

    1 sao = 1000đ. Mua thêm sao để tham gia hoạt động tương tác trên Tuổi Trẻ như: Đổi quà lưu niệm, Tặng sao cho tác giả, Shopping

      Thanh toán
      Bình luận (0)

      Ý kiến của bạn sẽ được biên tập trước khi đăng, xin vui lòng viết bằng tiếng Việt có dấu.

      Được quan tâm nhất Mới nhất
        thông tin tài khoản

        Tổng biên tập: Lê Thế Chữ

        Giấy phép hoạt động báo điện tử tiếng Việt, tiếng Anh Số 561/GP-BTTTT, cấp ngày 25-11-2022.

        Thông tin tòa soạn - Thành Đoàn TP.HCM

        Địa chỉ: 60A Hoàng Văn Thụ, P.9, Q.Phú Nhuận, Tp. Hồ Chí Minh

        Hotline: 0918.033.133 - Email: tto@tuoitre.com.vn

        Phòng Quảng Cáo Báo Tuổi Trẻ: 028.39974848

        Liên hệ Quảng cáo Điều khoản bảo mật Liên hệ góp ý RSS

        Đăng ký email - Mở cổng thông tin

        Luôn cập nhật tin tức, sự kiện mới nhất

        Đăng ký tại đây

        © Copyright 2025 TuoiTre Online, All rights reserved ® Tuổi Trẻ Online giữ bản quyền nội dung trên website này

        Thông tin của bạn

        Email
        Họ và tên

        Vui lòng nhập Họ & Tên.

        Thông báo

        Bạn vui lòng đợi 0s để tiếp tục comment

        Thông báo

        Bình luận được gửi thành công
        Thông tin bạn đọc Thông tin của bạn đọc sẽ được bảo mật an toàn và chỉ sử dụng trong trường hợp toà soạn cần thiết để liên lạc với bạn.
        Tên của bạn

        Vui lòng nhập Tên hiển thị

        Email
        Mã xác nhận

        Vui lòng nhập mã xác nhận.

        Bạn đã có tài khoản? Đăng nhập ngay
        Tên của bạn

        Vui lòng nhập Tên của bạn.

        Email
        Mật khẩu

        Mật khẩu phải có ít nhất 6 kí tự.

        Xác nhận mật khẩu

        Xác nhận mật khẩu không khớp.

        Mã xác nhận
        captcha

        Mã xác nhận không đúng.

        Có lỗi phát sinh. Vui lòng thử lại sau.

        hoặc đăng nhập

        Nhập mã xác nhận

        Đóng lại
        captcha

        Mã xác nhận không đúng.

        Có lỗi phát sinh. Vui lòng thử lại sau.

        Vui lòng nhập thông tin và ý kiến của bạn

        X
        Email (*)
        Họ và tên (*)

        Vui lòng nhập Họ & Tên.

        Ý kiến của bạn (*)

        Vui lòng nhập Ý kiến của bạn.

        captcha

        Mã xác nhận không đúng.

        Có lỗi phát sinh. Vui lòng thử lại sau.

        Nhập mã xác nhận

        Mã capcha
        captcha
        Hủy bỏ Hoàn tất