Hạn chế nguy cơ lỗ hổng bảo mật với Firefox

Mozilla vừa đưa ra một bản cập nhập cho trình duyệt Firefox của mình nhằm ngăn chặn lỗi bảo mật clickjacking, lỗ hổng anh ninh được đánh giá là nguy hiểm nhất trên Web.

Tấn công Clickjacking xảy ra khi một người đang lướt web và kích chuột vào một được link ẩn, lúc đó nó sẽ dẫn người dùng tới một trang độc hại mà không nhận biết được cho dù điều đó đã xảy ra. Một tính năng thiết kế trong ngôn ngữ siêu văn bản (HTML) cho phép các trang web có thể chèn nội dung từ các trang khác. Điều này có nghĩa là mọi người đều có thể bị tấn công.

NoScript, là một phần mềm mở rộng (Add on) rất nổi tiếng của trình duyệt Firefox . Mặc dầu công cụ này không dùng để quét nội dung trang web để tìm ra các lỗ hổng an ninh. Nó thường được dùng để chặn một số loại nội dung nhất định trong các trang web. Và Mozilla đã bổ sung cập nhật mới vào NoScript giúp chống lại clickjacking.

Cuộc chiến với Clickjacking

Theo Fraser Haward, chuyên gia bảo mật tại SophosLabs, tính năng mới trong NoScript là một thiết kế đặc biệt để chống lại nguy cơ tấn công clickjacking từ giao diện người dùng, tuy nhiên nó cũng có một số hạn chế bởi những công cụ tương tự như thế này có thể bị chỉ trích sử dụng sai mục đích và việc cài đặt sử dụng chúng không phải đơn giản người sử dụng bất kỳ đều có thể làm được.

Và một điều tất yếu là một mình NoScript chưa đủ để giải quyết vấn đề. Bởi lẽ, trình duyệt Firefox chỉ chiếm khoảng 30%. Trong khi đó có hơn 70% người dùng lướt web với các trình duyệt khác thì nguy cơ clickjacking vẫn còn bỏ ngỏ.

Cần có thêm những bản sửa lỗi

Các nhà nghiên cứu bảo mật hy vọng rằng, các trình duyệt khác cũng noi gương Mozilla và phát hành những phương thức mới để chống lại clickjacking.

Howard cho biết thêm, các ứng dụng web cũng có thể trở thành mục tiêu. Mới đây nhất là việc phát hiển lỗ hổng trong chương trình của Adobe. Lỗ hổng này có thể bị lợi dụng để chỉnh sửa các thiết lập bảo mật và qua đó cho phép truy cập vào webcam hoặc microphone của nạn nhân.

Cũng tương tự như vậy, khi người sử dụng bị thuyết phục kích vào một đuờng link trong ứng dụng webmail. Kết quả là tất cả các email của họ đều bị xoá. Nói chung, có rất nhiều cách để thực hiện các cuộc tấn công hướng vào các ứng dụng trên nền tảng web. Bởi vậy các nhà sản xuất ứng dụng nên từng bước loại trừ hoặc giảm thiểu các rủi ro. Chẳng hạn, hãng Adobe đã bổ sung một đoạn mã đơn giản để ngăn chặn lỗ hổng bảo mật này.

Tóm lại , trong lúc chờ đợi các bản vá lỗi tiếp theo, hãy sử dụng trình duyệt Firefox, tìm hiểu và cài đặt thêm NoScript để hạn chế rủi ro cho chính bạn khi lướt web.