Firefox "đe doạ" MySpace

Mặc dù một mùa nghỉ lễ sắp tới nhưng có vẻ như các hacker với mưu đồ đen tối không hề biết điều đó. Mới đây, một lỗ hổng mới đã được phát hiện trong trình duyệt Firefox của Mozilla và nó đã được sử dụng để tấn công thành viên của mạng xã hội MySpace.

Vào ngày hôm qua, 22/11, các chuyên gia bảo mật đã đưa ra lời cảnh báo rằng trình duyệt Firefox của Mozilla có một lỗ hổng chưa được vá cho phép những kẻ có mưu đồ có thể ăn cắp website hoặc mật khẩu của tài khoản. Các chuyên gia bảo mật cũng cho biết lỗ hổng này đã được sử dụng trên MySpace để ăn cắp các thông tin đăng nhập của các thành viên của mạng xã hội nổi tiếng này.

Lỗ hổng này được người phát hiện ra nó đặt tên là “Reverse Cross-Site Request” (RCSR), đây là một lỗ hổng nằm trong tính năng lưu mật khẩu của Firefox. Những kẻ tấn công có thể lợi dụng lỗ hổng này bằng các đoạn mã HTML hiểm độc để ăn cắp tên tài khoản và mật khẩu từ một trang web hợp pháp, chẳng hạn như blog hoặc một forum. Robert Chapin, người đã thông báo cho Mozilla biết về lỗ hổng này vào đầu tháng 11, cho biết người sử dụng sẽ khó có thể nhận biết được vụ tấn công đã xảy ra.

Chapin cũng khẳng định rằng trình duyệt Internet Explorer của Microsoft cũng lỗ hổng RCSR, tuy nhiên, những kẻ tấn công sẽ khó có thể lợi dụng lỗ hổng này trong IE hơn.

Hãng bảo mật của Đan Mạch Secunia đánh giá đây là lỗ hổng “ít nghiêm trọng” – mức độ nguy hiểm thứ 2 trong tổng số 5 mức độ đánh giá của hãng.

Chapin đã phát hiện ra những vụ tấn công RCSR đầu tiên trên MySpace vào tháng 10 vừa qua. Chapin đưa ra lời cảnh báo: “Một vụ tấn công quy mô lớn gần đây sử dụng lỗ hổng RCSR đã được thực hiện nhằm lừa những người sử dụng MySpace cung cấp các thông tin về tài khoản và mật khẩu của họ”.

Các phiên bản hiện tại của Firefox – 1.5.0.8 và 2.0 – đều chịu ảnh hưởng của lỗ hổng này. Trước khi bản vá được phát hành thì người sử dụng nên đối phó với nguy cơ bị tấn công bằng cách vô hiệu hoá tính năng tự động lưu mật khẩu. Trong Firefox, người sử dụng có thể làm theo các bước sau: Chọn ToolsOptionsSecurity sau đó bỏ đánh dấu trong hộp đề “Remember passwords for sites”.