Apple chưa thực sự vá lỗ hổng bảo mật Shellshock hoàn toàn đối với các máy Mac

    Comet, http://www.cnet.com/news/apples-shellshock-patch-incomplete-say-experts/ 

    Mặc dù đã tung bản update cho các máy Mac của mình để xử lí lỗ hổng bảo mật Shellshock, các chuyên gia cho biết Apple mới chỉ giải quyết được 2 trong 3 lỗ hổng.

    Gần đây, Apple đã cung cấp cho người dùng máy tính Mac một bản vá lỗi lỗ hổng bảo mật Shellshock, hay còn gọi là Bash (Bourne again shell). Lỗi này có thể cho phép tin tặc xâm nhập và chiếm quyền điều khiển của các máy tính Macintosh. Thế nhưng các chuyên gia bảo mật cho biết bản vá lỗi này của Apple là chưa triệt để và vẫn còn để lại một lỗ hổng có thể bị khai thác bởi tin tặc.

    Lỗ hổng bảo mật Shellshock ảnh hưởng đến hầu hết các máy tính trên thế giới chạy hệ điều hành nền tảng Unix và Linux, bao gồm cả các máy tính chạy hệ điều hành OS X của Apple. Bằng cách tấn công qua các ứng dụng Bash, Shellshock cho phép mã độc hại chạy bên trên trong ứng dụng với mục đích nguy hiểm nhất là chiếm quyền điều khiển của máy tính và truy cập các thông tin các nhân của người dùng.

    Tod Beardsley, một giám đốc kỹ thuật của hãng bảo mật Rapid7 cho biết mặc dù đã có những thông tin trấn an dư luận là Shellshock không quá nghiêm trọng, nhưng đây vẫn lỗ hổng bảo mật cực kỳ nguy hiểm dành cho người dùng. Một số nhà nghiên cứu bảo mật đã nói rằng nó ít nhất là nguy hiểm như Heartbleed, một lỗ hổng phổ biến tương tự được phát hiện vào đầu năm nay.

    Trong bản vá của Apple dành cho các máy tính Mac, 2 lỗ hổng đã được vá lại. Thế nhưng một nhà nghiên cứu bảo mật của Rapid7 - Greg Wiseman đã phát hiện ra là ngay cả khi đã cài đặt bản vá của Apple trên phiên bản OS X Mountain Lion (phát hành năm 2012), vẫn còn một lỗ hổng của Shellshock có thể bị khai thác bởi tin tặc. Được gọi tên CVE-2014-7186, lỗ hổng này có thể cho phép một cuộc tấn công khiến máy Mac từ chối dịch vụ, theo đó ngăn chặn việc máy Mac kết nối với mạng cục bộ hoặc mạng Internet.

    Lỗ hổng bảo mật thứ 3 chưa được vá được phát hiện bởi Greg Wiseman. Ảnh: Seth Rosenblatt / CNET

    Lỗ hổng bảo mật thứ 3 chưa được vá được phát hiện bởi Greg Wiseman. Ảnh: Seth Rosenblatt / CNET

    Apple hiện chưa đưa ra bình luận về vụ việc này.

    Phía Apple cho biết chỉ những người dùng máy tính Mac có cài đặt nâng cao Unix mới bị ảnh hưởng bởi lỗ hổng này. Ứng dụng Bash vốn được dùng để điều khiển giao diện dòng lệnh trong nền tảng Linux cũng như HĐH Mac OS X có một điểm yếu khiến các đối tượng có thể khai thác từ xa để gây tổn thương hệ thống. Theo Apple, trừ khi người dùng cấu hình dịch vụ tiên tiến Unix, còn không thì OS X mặc định an toàn với các cuộc tấn công từ xa qua Bash. Với bản cập nhật hồi đầu tuần, Apple đã giải quyết 2 lỗ hổng Shellshock, được gọi tên là CVE-2014-7169 và CVE-2014-6271.

    Theo: Cnet

    >>Những chiếc iPhone tai tiếng nhất từ trước tới nay

    Tin cùng chuyên mục
    Xem theo ngày

    NỔI BẬT TRANG CHỦ