English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits Gmail's Zero-Day Flaw Allows Attackers to Steal Messages  XML
  [Announcement]   Gmail's Zero-Day Flaw Allows Attackers to Steal Messages 29/09/2007 01:59:04 (+0700) | #1 | 87726
[Avatar]
 blueocean89
Member
[Minus]    0    [Plus]
Joined: 31/08/2007 12:06:33
Messages: 156
Location: r00f
Offline
[Profile] [PM]
Lướt web, thấy trang Gadgets House có đăng một tin về lỗi bảo mật này, đây là link http://www.new4hack.com/content/view/700/54/ . Em chỉ mới đọc và dịch sơ và chắc tạm post thông tin là như vầy:
Tài khoản Gmail của bạn có thể dễ dàng bị hack và một khi bị hack, tất cả email [nhận trước đây và sau này] sẽ chuyển trực tiếp vào hộp mail của hacker.
Lỗi này được gọi là "cross-site request forgery" (CSRF) và được phát hiện bởi Petko Petkov, người vài tuần trước đã công bố lỗ zero-day của Apple Inc.'s QuickTime, Microsoft Corp.'s Windows Media Player và Adobe Systems Inc.'s Portable Document Format (PDF). Petkov đã gửi một loạt screenshots Trên Gnucitizen.org minh họa sự tấn công có thể xảy ra .
"Ví dụ, những attackers viết một filter đơn giản chỉ để tìm kiếm những thư điện tử với những files đính kèm và chuyển chúng tới một địa chỉ email tùy theo lựa chọn của họ" Petkov nói. " Filter này sẽ tự động chuyển mọi thư điện tử phù hợp với quy tắc trên"

Theo Petkov, kẻ tấn công sử dụng bộ lọc của Gmail để khai thác lỗi này. Tất nhiên, kẻ tấn công sẽ bắt đầu công việc bằng cách "mời chào" khách viếng thăm các site độc hại trong khi vẫn đang trong Gmail [theo mình nghĩ..có lẽ là nó gửi thư tới dụ mình mở và liên kết tới web độc ^^]. Sau đó, web độc này sẽ thực thi cái mà Petkov gọi là "multipart/form-date POST" -- một lệnh HTML được dùng để upload file -- tới một trong những chương trình ứng dụng của Gmail, sau đó cài một filter "lừa đảo" vào danh sách filter của người dùng.

Và một điều đáng sợ nữa là, dù một khi Google đã fix, chỉ cần filter đó còn trong tài khoản mail của bạn ...thì coi như tất cả email sau này coi như vẫn bị mất cắp! Google không ngay lập tức trả lời những câu hỏi về việc liệu lỗi này đã được xác nhận chưa, và nếu như vậy thì, khi nào sẽ có bản vá lỗi.
Tuy vậy bạn vẫn có thể an tâm,Giorgio Maone, tác giả của NoScript add-on trong Mozilla FireFox đã nói rằng phần gắn thêm này của ông có thể cản được việc khai thác lỗi này ở Gmail. [Người dùng có thể bị khai thác lỗi này nếu viếng thăm cá website có chứa mã độc hoặc công cụ kích hoạt lỗi này....Lỗi này được cho là nguy hiểm á, công bố vào thứ 3 vừa rồi!

Phù dịch mệt qua'....dịch có gì thiếu sót mong các huynh bỏ qua' ^^ cũng chỉ tạm phóng dịch vậy thôi, có gì mọ người vào link trên tham khảo và đề phòng nha!
Thân.
trons pacrette tiolpsatem otkin ypacs
[Up] [Print Copy]
  [Question]   Re: Gmail's Zero-Day Flaw Allows Attackers to Steal Messages 29/09/2007 02:09:57 (+0700) | #2 | 87729
L0ng3ta
Locked
[Minus]    0    [Plus]
Joined: 17/09/2002 13:47:43
Messages: 264
Location: Địa cầu
Offline
[Profile] [PM]
Cách khắc phục hiệu quả và phòng tránh những sự tấn công khai thác vào những lỗi như thế này rất đơn giản.. Chỉ cần khi duyệt mail hay login vào bất cứ tài khoản nào thì tốt nhất đừng nên đi đâu lang mang cả nếu chưa logout ra ngoài. smilie)
[Up] [Print Copy]
  [Question]   Re: Gmail's Zero-Day Flaw Allows Attackers to Steal Messages 29/09/2007 02:11:22 (+0700) | #3 | 87730
[Avatar]
 blueocean89
Member
[Minus]    0    [Plus]
Joined: 31/08/2007 12:06:33
Messages: 156
Location: r00f
Offline
[Profile] [PM]
hì hì nếu cẩn thận như anh em mình thì mấy thằng hacker nó đói :-> "tội chúng nó" smilie)
trons pacrette tiolpsatem otkin ypacs
[Up] [Print Copy]
  [Question]   Re: Gmail's Zero-Day Flaw Allows Attackers to Steal Messages 29/09/2007 02:16:27 (+0700) | #4 | 87731
L0ng3ta
Locked
[Minus]    0    [Plus]
Joined: 17/09/2002 13:47:43
Messages: 264
Location: Địa cầu
Offline
[Profile] [PM]
Cẩn thận là một đức tính vô cùng cần thiết cho những ai làm về bảo mật hoặc thích nghiên cứu về bảo mật. Bởi vì trên thế giới ảo này chuyện gì cũng có thể xảy ra, điều quan trọng là chúng ta lường trước được hậu quả khi điều đó xảy ra smilie)
[Up] [Print Copy]
  [Question]   Re: Gmail's Zero-Day Flaw Allows Attackers to Steal Messages 29/09/2007 02:23:19 (+0700) | #5 | 87733
[Avatar]
 blueocean89
Member
[Minus]    0    [Plus]
Joined: 31/08/2007 12:06:33
Messages: 156
Location: r00f
Offline
[Profile] [PM]
Hôm trước em down được cuốn hacking Gmail -- làm "dãn" storage của Gmail...smilie chưa đọc thử chả biết làm được không ..nhưng cũng chả việc gì phải khổ vậy ..trong khi Yahoo mail giờ là Unlimited ^^. CÔng nhận thứ gì phổ biến chút cũng bị hacker mò tới hết smilie >"<
trons pacrette tiolpsatem otkin ypacs
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|