Từ điển
Dịch văn bản
 
Tất cả từ điển
Tra từ
 
 
Dịch song ngữ - Khoa học - Công nghệ
Is Internet Explorer leaking sensitive information?
Internet Explorer rò rỉ thông tin nhạy cảm?
Do you use Internet Explorer? If you do, hopefully you’ve already applied the updates from Patch Tuesday earlier this week.
But, even if you did it seems your browser might still be vulnerable to a potentially serious issue.
Bạn sử dụng Internet Explorer? Nếu có, hy vọng bạn đã cài đặt các bản cập nhật trong gói Patch Tuesday vào đầu tuần này.
Nhưng, dù cho bạn đã làm như thế thì có vẻ như trình duyệt của bạn vẫn có thể bị một lỗi nghiêm trọng tấn công.
Spider.io claims to have discovered a flaw that affects Internet Explorer, versions 6 through 10. The vulnerability reportedly allows the mouse cursor position to be tracked wherever it is on the screen—even if IE is minimized.
Công ty Spider.io tuyên bố đã phát hiện một lỗi tác động đến Internet Explorer, từ phiên bản 6 đến 10. Theo như đưa tin, lỗ hổng này cho phép theo dõi vị trí con trỏ chuột dù nó đang ở đâu trên màn hình – dù cửa sổ IE đã được thu nhỏ.
Spider.io disclosed the vulnerability to Microsoft on October 1, 2012, but it was not addressed in the most recent security update for Internet Explorer. Spider.io asserts that the flaw is being actively exploited, and claims the Microsoft Security Research Center (MSRC) has acknowledged the vulnerability, but has no immediate plan to patch it.
Công ty Spider.io đã thông báo lỗ hổng này cho Microsoft hôm 1/10/2012, nhưng nó đã không được đề cập đến trong bản cập nhật bảo mật gần đây nhất dành cho Internet Explorer. Spider.io khẳng định lỗ hổng này đang được chủ động khai thác, và tuyên bố Trung tâm Nghiên cứu Bảo mật của Microsoft (MSRC) đã thừa nhận lỗ hổng này, nhưng chưa có kế hoạch vá lỗi ngay lập tức.
I asked Microsoft for its position on the alleged vulnerability. A spokesperson sent me this official response: “We are currently investigating this issue, but to date there are no reports of active exploits or customers that have been adversely affected. We will provide additional information as it becomes available and will take the appropriate action to protect our customers.”
Tôi đã hỏi ý kiến của Microsoft về lỗ hổng này. Một phát ngôn viên đã gửi cho tôi câu trả lời chính thức như sau: "Chúng tôi hiện đang xem xét vấn đề này, nhưng cho đến nay chưa có ghi nhận nào về hoạt động khai thác lỗ hổng đó hay khách hàng bị ảnh hưởng xấu. Chúng tôi sẽ cung cấp thông tin bổ sung khi có và sẽ có hành động thích hợp để bảo vệ khách hàng của chúng tôi."
Jason Miller, manager of research and development for VMware questions whether the issue is a “bug” or a “feature”. “One could question whether this is a vulnerability or a feature introduced into the browser to help establish metrics of usage. Regardless, the researchers have proven that this “issue” could be used maliciously.”
Jason Miller, giám đốc nghiên cứu và phát triển của VMware nghi vấn rằng liệu đây một "lỗi" hay là một "tính năng". "Người ta có thể đặt câu hỏi đây là một lỗ hổng hay một tính năng được đưa vào trình duyệt nhằm đo mức độ sử dụng. Mặc dù vậy, các nhà nghiên cứu đã chứng minh rằng "vấn đề" này có thể được sử dụng với mục đích xấu."
I spoke with Qualys CTO Wolfgang Kandek. He expressed concerns over the implications such a vulnerability might have for online banking. Many banks have implemented on-screen virtual keyboards for entering account credentials as a means of avoiding traditional keylogger attacks.
Tôi đã trò chuyện với Giám đốc kỹ thuật của công ty Qualys, ông Wolfgang Kandek. Ông bày tỏ nỗi lo lắng về những hậu quả mà một lỗ hổng như thế có thể mang lại cho nghiệp vụ ngân hàng trực tuyến. Nhiều ngân hàng đã triển khai bàn phím ảo trên màn hình để nhập thông tin tài khoản như một cách để tránh các cuộc tấn công từ trước đến nay của trình theo dõi thao tác bàn phím.
Andrew Storms, director of security operations for nCircle, agrees. “This exploit has the effect of a key logger on virtual keyboards. Attackers could potentially capture the clicks connected with banking credentials using this exploit and that isn’t good news for the 63 million Americans that bank online.”
Andrew Storms, giám đốc điều hành bảo mật của nCircle, có cùng ý kiến. "Việc khai thác lỗ hổng này có tác dụng của trình theo dõi thao tác bàn phím trên bàn phím ảo. Kẻ tấn công có thể chụp lại những cú nhắp chuột kết nối đến thông tin tài khoản ngân hàng bằng cách khai thác lỗ hổng này và đó không phải là tin tốt lành gì cho 63 triệu người Mỹ sử sụng ngân hàng trực tuyến."
Alex Horan, senior product manager at CORE Security, adds that supposedly “safe” websites may not be so safe. “Just because you are visiting YouTube or the New York Times doesn’t mean all the content on that site is owned or managed by them—serving up malicious ads on trusted mainstream sites is a great way to expose your attack to a large volume of user.”
Alex Horan, giám đốc sản phẩm cấp cao của CORE Security, bổ sung thêm là các trang web được cho là "an toàn" có thể không an toàn được như thế. "Đâu phải vì bạn ghé thăm trang YouTube hay Thời báo New York mà coi như tất cả nội dung trên trang web đó thuộc quyền sở hữu hay quản lý của hai trang này – việc cung cấp quảng cáo độc hại trên các trang web lớn được tin cậy là một cách tuyệt vời phơi nhiễm việc bạn bị tấn công cho cả khối người dùng."
Horan suggests abandoning IE until or unless the issue is patched by Microsoft.
Horan đề nghị từ bỏ IE cho đến khi hoặc trừ phi lỗi trên được Microsoft vá.
Storms says, “If this vulnerability is confirmed, it has the potential to require an out-of-band patch and that’s something everyone would like to avoid this holiday season.”
Ông Storms cho biết, "Nếu lỗ hổng này đã được xác nhận, có thể nó cần có bản vá lỗi ngoài luồng (không nằm trong gói Patch Tuesday) và đó là thứ mà mọi người muốn tránh vào mùa lễ năm nay."
 
Đăng bởi: all smiles
Bình luận
Đăng bình luận
Bình luận
Đăng bình luận
Vui lòng đăng nhập để viết bình luận.
Gửi