Lỗ hổng Google Desktop trước cuộc tấn công mới
Chỉ một ngày sau khi các chuyên gia bảo mật đưa ra lỗ hổng của Google Toolbar trên Firefox, thì một lỗ hổng khác tương tự cũng được tìm thấy trong Google Desktop.
Hôm thứ năm vừa qua, "kẻ tấn công" Google Robert Hansen đã đưa lên bằng chứng chi tiết về việc các kẻ tấn công có thể sử dụng Google Desktop để khởi chạy phần mềm chắc chắn đã bị cài đặt lên máy tính nạn nhân.
Cuộc tấn công khó có thể thực hiện được và không nhất thiết là sử dụng để cài đặt phần mềm không cho phép lên máy tính nạn nhân, nhưng nó lại minh họa cho một nỗi lo về bảo mật được phát sinh bởi các ứng dụng nền tảng Web, Hansen – CEO cố vấn bảo mật web của Sectheory.com và cũng là cộng tác của website Ha.kers.org – nói.
“Khi dựa vào các công ty thứ ba để có mã nhằm tác động lên trình duyệt của bạn, nó thực ra đã phá hỏng mô hình bảo mật của chính trình duyệt”, ông nói.
Để khai thác lỗ hổng Google Desktop của Hansen, kẻ tấn công đầu tiên sẽ khởi chạy một tấn công “man-in-the-middle” thành công, bằng cách này hắn sẽ tự đặt mình vào giữa máy tính nạn nhân và các máy chủ Google. Điều này có thể được thực hiện dễ dàng hơn nữa khi máy bị tấn công truy cập vào một mạng không dây độc hại.
Một khi điều này xảy ra, kẻ tấn công có thể bắt đầu cuộc tấn công bằng cách thay đổi các trang web mà máy tính nạn nhân vào. Bằng cách điều hướng tới trang web giả mạo với đoạn mã JavaScript mới, máy tính nạn nhân có thể bị lừa để kích lên một kết nối nguy hiểm.
Những bước mà Hansen đã thực hiện tấn công rất rắc rối bởi các tính năng bảo mật mà Google đã tích hợp trong phần mềm của họ.
Hôm thứ tư vừa qua, nghiên cứu sinh Christopher Soghoian cũng đã đưa ra một tấn công man-in-the-middle có thể sử dụng để cài đặt phần mềm độc hại lên các máy tính có sử dụng một số công cụ add-on phổ biến của Firefox, trong đó bao gồm cả toolbar của Googe, Yahoo và AOL.
Hansen đã đưa lên hình ảnh của cuộc tấn công này sử dụng để khởi chạy Windows HyperTerminal. Nhưng nó cũng có thể được sử dụng để khởi chạy bất kỳ ứng dụng ảo nào đã thực sự được cài đặt trên máy tính.
Đây không phải là lỗi đầu tiên của Google Desktop. Trong tháng hai vừa qua, các kỹ sư của Watchfire Corp. cũng đã đưa ra một lỗ hổng trong tính năng tìm kiếm nâng cao (Advanced Search Feature) của chương trình này, nó có thể được sử dụng để truy cập tới dữ liệu hay thậm chí chạy phần mềm trái phép trên máy tính nạn nhân.
Hai ngày sau khi lỗ hổng do Watchfire phát hiện được công bố, chính Hansen cũng đã đưa ra cách mà các kẻ tấn công có thể ăn cắp thông tin từ người dùng Google Desktop.
Google vẫn chưa trực tiếp bình luận gì về các lỗi mới đây.
Hồng Ngân
Tên miền .xxx có bị “xếp xó” thêm lần nữa?
ICANN đang chuẩn bị bỏ phiếu cho bản dự thảo về tên miền .xxx - khu “đèn đỏ” dành cho các trang web khiêu dâm. Tuy nhiên, lần này, tổ chức lại tiếp tục vấp phải những phản ứng mạnh mẽ từ phía các ông chủ của ngành “công nghiệp khiêu d&aci
NTT Resonant - công cụ search độc đáo của Nhật Bản
Tập đoàn Bưu chính viễn thông Nhật Bản NTT vừa tiến hành một cuộc kiểm tra công cụ tìm kiếm thông tin trên Internet. Công cụ tìm kiếm NTT Resonant mang nét đặc thù mới, các kết quả tìm kiếm thông tin chỉ hiển thị trên một trang d
Treo ảnh của bạn lên Desktop
Sẽ có lúc bạn cảm thấy chán giao diện màn hình lúc nào cũng chỉ có một hình background. Với phần mềm XDeskPhoto thì điều đó “không có gì là khó tưởng tượng“.
Những điều cần biết về pin lithium-ion và cách tránh chai pin
Đây là những phương pháp chống chai pin có cơ sở khoa học dựa trên đặc tính của pin lithium-ion.
Cách đơn giản để giữ bí mật các file cá nhân
Chỉ có một cách để giữ cho các file một cách bí mật đó là mã hóa chúng. Encrypting File System (EFS) trong hầu hết các thế hệ của Windows Vista, XP, 2000 mã hóa nội dung các file và thư mục, làm cho chúng trở lên khó khăn đối với những ng
20 trang web kỳ quặc trên thế giới
Bạn sẽ không bao giờ biết tới những trang web kỳ quặc này cho đến khi..... bạn thực sự cần chúng.
