Google thông báo lỗ hổng bảo mật trong SSL 3.0

Hôm qua thứ Ba (14/10), Google thông báo đã khám phá “lỗ hổng trong thiết kế SSL 3.0”.

Ba nhân viên Google phát hiện ra vấn đề là Bodo Möller, Thai Duong và Krzysztof Kotowicz. Đây không phải lần đầu tiên SSL gặp sự cố. Đầu năm nay, lỗ hổng “trái tim rỉ máu” (Heartbleed) cũng được công bố.

Nếu chưa biết, giao thức SSL bảo vệ dữ liệu trao đổi giữa website và người dùng, thường được chứng nhận an toàn bằng biểu tượng khóa màu xanh và HTTPS. Nếu SSL gặp vấn đề, tin tặc có thể xâm nhập và thay thế dữ liệu, mở cửa cho mọi phương thức tấn công.

A Google search page is seen through a magnifying glass in this photo illustration taken in Brussels

Lần này, phiên bản SSL 3.0 bị ảnh hưởng. Tuy đã tồn tại 18 năm và được thay thế bằng TLS 1.0, TLS 1.1 và TLS 1.2, lỗ hổng vẫn gây lo ngại do phần lớn thay thế TLS hiện đại đều tương thích với Open SSL 3.0.

Hầu hết các trình duyệt web đều hỗ trợ SSL 3.0 và thậm chí còn hỗ trợ giao thức cũ hơn nếu có thứ gì đó không hoạt động hoặc bị kẻ tấn công phát động.

Google cho biết chỉ cần vô hiệu hóa SSL 3.0 là đủ để ngăn chặn vấn đề song sẽ gây ra lỗi tương thích. Do đó, công ty tuyên bố hỗ trợ TLS_FALLBACK_SCSV, ngăn cản việc SSL 3.0 bị lợi dụng. Trong vài tháng tới, hãng tìm kiếm Internet hi vọng có thể ngừng hỗ trợ SSL 3.0 trên mọi sản phẩm.

Các nhà phát triển trình duyệt khác như Mozilla (Firefox), Microsoft (Internet Explorer) hay Apple (Safari) có thể đi theo con đường của Google, phát hành bản cập nhật mới hỗ trợ TLS_FALLBACK_SCSV để khắc phục sự cố.

Theo GenK