-
Thời tiết Hà Nội mưa rào trong Tổng duyệt diễu binh A80 ngày 30 - 8
-
Hà Nội sẽ xử lý người thả diều gây ảnh hưởng đến hoạt động bay dịp 2 - 9
-
Chi 200 triệu đồng/tháng nuôi con
-
Lịch cấm đường ngày 30/8 phục vụ lễ tổng duyệt diễu binh, diễu hành A80
-
Lời khai của nghi phạm bắn chết thanh niên gặp bên đường ở Quảng Trị
-
Đừng hâm nóng thứ này trong lò vi sóng, chỉ 3 phút có thể giải phóng hàng tỷ hạt vi nhựa, tế bào người chết hàng loạt
-
Người mẹ hốt hoảng lao vào chốt bảo vệ diễu binh cầu cứu, Đại úy CSGT hành động bất ngờ
-
Được gọi "chồng ơi", Trung uý nổi tiếng khối Kỵ binh không đáp lại: Lý do bất ngờ
-
Chi tiết 178 điểm trông giữ xe miễn phí phục vụ người dân dịp Quốc khánh 2/9
-
Cận 2/9, hàng loạt sự kiện và triển lãm thú vị mà bạn không thể bỏ lỡ: Xem tất cả tại đây!
-
Hôm nay, áp thấp nhiệt đới khả năng thành bão, từ Đà Nẵng trở ra miền Bắc mưa lớn
-
Cận cảnh dàn xe tăng, xe thiết giáp, ngư lôi lần đầu xuất hiện tại triển lãm lớn nhất lịch sử
-
Công bố kết quả nghiên cứu ảnh hưởng của xăng E10 với ô tô, xe máy
-
Cùng đi xem xe, người đàn ông bỏ lại bạn gái rồi lấy xe máy phóng mất hút
-
Cô bé từng xuất hiện trong trận Chung kết Olympia 19 năm trước giờ đã thành Chị Đẹp, cuộc sống thay đổi 180 độ
-
Danh tính nam thanh niên xăm trổ thách thức công an tại chốt bảo vệ sơ duyệt A80
-
Bức ảnh nghiệt ngã: Người trao giải và người nhận giải Miss Audition 2006 đều vướng lao lý
-
TP HCM: Cán bộ, công chức thôi việc sau sắp xếp có thể vay đến 300 triệu đồng
-
Ô tô bất ngờ "sụt hố" trên phố Đội Cấn, Hà Nội
-
Lần đầu tiên người dân có thể bán vàng miếng với giá 127 triệu/lượng
Công nghệ
22/05/2018 09:52Kỹ sư bảo mật Việt Nam phát hiện lỗ hổng “chết người” trên Yahoo

Theo thông tin từ Công ty Cổ phần An ninh mạng Việt Nam (VSEC), gần đây, một lỗ hổng nghiêm trọng trong phần mềm xử lý ảnh ImageMagick có liên quan tới Yahoo Messenger đã được tìm ra bởi chuyên gia bảo mật VSEC.
Cụ thể, dựa trên lỗ hổng bảo mật này, một kẻ tấn công bất kỳ sẽ gửi một file ảnh có định dạng độc hại lên hệ thống Yahoo Messenger để khai thác lỗ hổng gây ra rò rỉ bộ nhớ của máy chủ Yahoo. Ảnh xem trước (thumbnail) sẽ được trả về và hiển thị trong khung chat của Yahoo Mesenger.
Dựa trên kết quả trả về này, kẻ tấn công thu thập, tổng hợp dữ liệu trên máy chủ Yahoo Messenger và trong đó có thể bao gồm dữ liệu người dùng.
Lỗ hổng này tác động tới toàn bộ người dùng dịch vụ Yahoo Messenger của công ty Yahoo (Hoa Kỳ) với con số hàng chục triệu người dùng thường xuyên (tính đến ngày 21/5, có tới trên 50 triệu lượt tải).
Cũng với lỗ hổng, hacker có thể thu thập dữ liệu từ máy chủ để thu thập trái phép thông tin của người dùng khác trên phạm vi toàn cầu. Việc khai thác có thể thực hiện từ bất cứ đâu trên thế giới.
Lỗ hổng được ông Nguyễn Văn Lực, kỹ sư bảo mật phòng R&D của VSEC thông báo cho Yahoo thông qua một đơn vị trung gian vào ngày 13/3/2018.
5 tiếng sau đó, Yahoo đã yêu cầu kỹ sư VSEC cung cấp thông tin kỹ thuật bổ sung, sau một số bước trao đổi thông tin về lỗ hổng Yahoo đã xác nhận sự tồn tại của lỗ hổng này và anh Lực là người đầu tiên cung cấp cho Yahoo.

Và đến ngày 12/4, Yahoo đã trao thưởng cho kỹ sư Nguyễn Văn Lực về phát hiện này (giá trị không được tiết lộ nhưng đã có những lỗ hổng tương tự được trao thưởng hàng chục nghìn USD – PV).
Trong thực tế, các công ty cung cấp dịch vụ trực tuyến (như thương mại điện tử, mạng xã hội, thanh toán điện tử...) ngày càng trở nên quyền lực vì sở hữu số lượng khổng lồ dữ liệu liên quan đến người dùng.
Và để bảo vệ dữ liệu này, nhiều công ty lớn trên thế giới áp dụng nhiều biện pháp kỹ thuật, nhân lực chất lượng cao thậm chí huy động cả hacker mũ trắng để bảo vệ các tài sản thông tin số bên cạnh những đánh giá hợp chuẩn.
Các công ty này hiểu rằng, đội ngũ nhân sự và biện pháp bảo vệ chủ động từ phía công ty là không đủ để bảo vệ toàn diện ứng dụng hay hệ thống khổng lồ của họ, do đó thường tổ chức chương trình trao thưởng cho người phát hiện và thông báo các lỗ hổng bảo mật của họ (bug bounty program), chương trình giúp các công ty có điều kiện khắc phục sớm lỗ hổng bảo mật của mình, bảo vệ tối đa dữ liệu người dùng.
Đặc biệt là thông qua chương trình này, các nhà nghiên cứu lỗ hổng bảo mật không bị giới hạn về kĩ thuật tấn công nên nhiều cách thức khai thác bảo mật sáng tạo có điều kiện được công bố.
“Với các chương trình kiểu này, hacker trên toàn cầu có thể tham gia thoải mái. Khi họ phát hiện lỗ hổng, hacker sẽ gửi thông tin cho các tổ chức đó phê duyệt. Quá trình phê duyệt bao gồm: làm rõ, phân loại, xác minh, trả thưởng và sửa chữa lỗi ứng dụng. Thời gian phê duyệt có thể nhanh chậm tùy theo mức độ nghiêm trọng, phạm vi ảnh huởng, độ phức tạp của lỗ hổng”, kỹ sư bảo mật Nguyễn Văn Lực chia sẻ.
Theo Nguyên Đức (Ictnews.vn)








- BYD liên tục đăng ký xe mới tại Việt Nam: thêm mẫu SUV ngang cỡ Mazda CX-5, chạy một mạch từ Hà Nội đến Quảng Bình chỉ trong 1 lần sạc (09:41)
- Ông chủ Tập đoàn Phúc Sơn tiếp tục bị cáo buộc lừa đảo hơn 7.000 tỷ đồng tại Nha Trang (09:38)
- Solskjaer bị sa thải (09:37)
- Một chiếc điện thoại giá rẻ, có thể là đối thủ của Samsung: Bỏ ra hơn 4 triệu, người dùng nhận lại gì? (09:30)
- Còn 36 tiếng mới đến buổi Tổng duyệt, người dân đã trải bạt nhận chỗ qua đêm ở Ba Đình, lực lượng chức năng nhanh chóng có mặt (09:22)
- Thời tiết Hà Nội mưa rào trong Tổng duyệt diễu binh A80 ngày 30 - 8 (09:21)
- Bí mật sau cảnh nóng nhất Mưa Đỏ: Nam nữ chính không dám nhìn mặt nhau, đạo diễn tiết lộ 1 câu sốc óc (09:21)
- Hà Nội sẽ xử lý người thả diều gây ảnh hưởng đến hoạt động bay dịp 2 - 9 (09:18)
- Bên trong khách sạn bị bỏ hoang ma quái nhất Nhật Bản (09:16)
- Tuyển sinh đại học năm 2025: Sai sót từ đâu? (09:15)




