Ba nhân viên Google phát hiện ra vấn đề là Bodo Möller, Thai Duong và Krzysztof Kotowicz. Đây không phải lần đầu tiên SSL (giao thức bảo mật mà người dùng Internet sử dụng để mã hóa và bảo đảm an toàn) gặp sự cố. Đầu năm nay, lỗ hổng “trái tim rỉ máu” (Heartbleed) cũng được công bố.
Lần này, phiên bản SSL 3.0 bị ảnh hưởng. Tuy đã tồn tại 18 năm và được thay thế bằng TLS 1.0, TLS 1.1 và TLS 1.2, lỗ hổng vẫn gây lo ngại do phần lớn thay thế TLS hiện đại đều tương thích với Open SSL 3.0.
Hầu hết các trình duyệt web đều hỗ trợ SSL 3.0 và thậm chí còn hỗ trợ giao thức cũ hơn nếu có thứ gì đó không hoạt động hoặc bị kẻ tấn công phát động.
Google cho biết chỉ cần vô hiệu hóa SSL 3.0 là đủ để ngăn chặn vấn đề song sẽ gây ra lỗi tương thích. Do đó, công ty tuyên bố hỗ trợ TLS_FALLBACK_SCSV, ngăn cản việc SSL 3.0 bị lợi dụng. Trong vài tháng tới, hãng tìm kiếm Internet hi vọng có thể ngừng hỗ trợ SSL 3.0 trên mọi sản phẩm.
Các nhà phát triển trình duyệt khác như Mozilla (Firefox), Microsoft (Internet Explorer) hay Apple (Safari) có thể đi theo con đường của Google, phát hành bản cập nhật mới hỗ trợ TLS_FALLBACK_SCSV để khắc phục sự cố.
Giao thức SSL bảo vệ dữ liệu trao đổi giữa website và người dùng, thường được chứng nhận an toàn bằng biểu tượng khóa màu xanh và HTTPS. Nếu SSL gặp vấn đề, tin tặc có thể xâm nhập và thay thế dữ liệu, mở cửa cho mọi phương thức tấn công.
Theo IctNews
