Xem lẹ

Trang nhà > Đời sống > Hiện đại > Một số cảnh báo về an ninh thông tin

Một số cảnh báo về an ninh thông tin

Thứ Tư 12, Tháng Mười Một 2008

Cảnh báo về BKAV Pro

TPHCM, ngày 03 tháng 06 năm 2008, công ty bảo mật Tư vấn Trăng Xanh đã công bố hai lỗi an ninh nghiêm trọng (http://www.bluemoon.com.vn/advisories/bmsa200806.html) trong phần mềm diệt vi-rút BKAV, phiên bản Pro, do trung tâm an ninh mạng Bách Khoa (BKIS) phát hành.

Lợi dụng hai lỗi an ninh này, kẻ tấn công có thể gây ra lỗi “màn hình xanh” (một trong những lỗi được xem là nặng nhất đối với người dùng máy tính) của Windows hoặc thực thi mã lệnh độc hại bất kỳ.

Lỗi đầu tiên cho phép một người dùng bình thường (không cần quyền quản trị) gây lỗi trong nhân hệ điều hành dẫn đến việc máy tính không thể hoạt động tiếp, hoặc phải khởi động lại.

Lỗi thứ hai cho phép kẻ xấu thông qua các kênh tấn công ít nguy hiểm khác chiếm toàn quyền điều khiển máy tính của nạn nhân trong khi nạn nhân vẫn tiếp tục ảo tưởng về sự an toàn của hệ thống vì ngỡ mình luôn được BKAV Pro bảo vệ.

Cảnh báo về lỗi an ninh trong BKAV Pro đã được Tư vấn Trăng Xanh gửi đến BKIS từ ngày 28 tháng 05 năm 2008 nhưng người đại diện của BKIS đã bác bỏ thông báo lỗi và khẳng định đây không phải lỗi phần mềm.

Cho đến nay vẫn chưa có tin tức gì về bản vá lỗi. Tư vấn Trăng Xanh khuyến khích mọi người sử dụng BKAV Pro liên hệ trực tiếp đơn vị phát hành phần mềm này là BKIS để yêu cầu có bản sửa lỗi, hoặc chỉ chạy BKAV với quyền hạn của người dùng thông thường. Ngoài ra người dùng máy tính cũng được khuyến khích nên cẩn thận trước khi đưa vào sử dụng đại trà các phiên bản Home, Enterprise và Gateway của cùng sản phẩm, cũng như bất kỳ sản phẩm an ninh nào khác. Một giải pháp an ninh mắc lỗi đôi khi đem lại nhiều rủi ro hơn là không sử dụng giải pháp nào cả.

Cảnh báo về Zing Chat

TPHCM, ngày 16 tháng 05, công ty nghiên cứu bảo mật Blue Moon Consulting đã công bố lỗi an ninh (http://www.bluemoon.com.vn/advisories/bmsa200803.html) của phần mềm miễn phí Zing Chat do VinaGame phát hành.

Kẻ tấn công có thể lợi dụng lỗi an ninh này để làm hư chương trình Zing Chat từ xa. Và trong một vài trường hợp hiếm hoi, kẻ tấn công có thể chiếm toàn quyền điều khiển máy tính nạn nhân.

Đáng quan tâm hơn là lỗi này có thể được thực hiện từ xa, qua email, qua nhắn tin tức thời, hoặc chèn vào các trang mạng thông thường. Người dùng rất khó phát hiện ra mình đang là con mồi của kẻ xấu.

Công ty Blue Moon Consulting đã cảnh báo tới VinaGame từ ngày 08 tháng 05 năm 2008 nhưng chỉ nhận được một thông điệp lưu sẵn gửi đi bởi hệ thống thư điện tử của VinaGame. Cho đến nay vẫn chưa có tin tức gì về bản vá lỗi cho nên khách hàng được khuyến khích liên hệ VinaGame trực tiếp để yêu cầu có bản vá, hoặc ngừng sử dụng Zing Chat cho đến khi có thông tin mới từ nhà phân phối.

Hàng ngàn tiệm Net đứng trước nguy cơ tấn công

TPHCM, ngày 03 tháng 05, công ty nghiên cứu bảo mật Blue Moon Consulting đã công bố lỗi an ninh (http://www.bluemoon.com.vn/advisories/bmsa200801.html) của phần mềm miễn phí CSM do VinaGame phát hành.

Kẻ tấn công có thể lợi dụng lỗi an ninh này để thay đổi toàn bộ mật khẩu người dùng trên hệ thống, kể cả mật khẩu của người quản lý, làm tê liệt hoạt động kinh doanh của tiệm Net.

Theo công bố của công ty thì lỗi an ninh này ảnh hưởng tới phiên bản mới nhất của phần mềm vừa phát hành ngày 25 tháng 04, và rất có thể cũng đã tồn tại ngay từ các phiên bản trước.

Ông Nguyễn Thành Nam, một trong số ít các chuyên gia an toàn hệ thống thông tin (CISSP) ở Việt Nam, và là nhân viên nghiên cứu của công ty cho biết tuy chưa có thông tin nào về việc kẻ xấu lợi dụng lỗi này để gây hại nhưng người dùng không nên thờ ơ vì về mặt kỹ thuật lỗi này rất dễ bị tận dụng.

Nhằm hạn chế việc tận dụng lỗi, và trái với những quy tắc cộng đồng nghiên cứu bảo mật thế giới tuân theo, bản công bố lỗi đã lọc bớt thông tin cho đến ngày 10 tháng 05 mới công bố toàn bộ.

Được biết trước đó công ty VinaGame đã nhận thông báo về lỗi nghiêm trọng này vào ngày 26 tháng 04.

Khách hàng sử dụng phần mềm CSM được khuyến khích liên hệ VinaGame trực tiếp để yêu cầu sửa lỗi.


Xem online : Trăng Xanh