CHÚ Ý: Melbourne xin gọi số (03) 8080 1030 hay Sydney xin gọi số (02) 8080 5100, hay tại Mỹ 563.999.3268 từ bất cứ điện thoại nào để nghe đài Cherry Radio tiếng Việt và Nhạc yêu cầu! Tải App cho iPhone hay Samsung, Sony, LG ngay! *Xin lưu ý phí điện thoại.

Yahoo ngưng sử dụng ImageMagick vì lỗ hổng YahooBleed

20:00' 25-05-2017
Yahoo vừa quyết định ngưng sử dụng ImageMagick, sau khi một nhà nghiên cứu bảo mật phát hiện lỗ hổng cho phép kẻ gian truy cập thông tin Yahoo Mail chỉ với dòng mã đơn giản.

    Yahoo ngưng sử dụng ImageMagick vì lỗ hổng YahooBleed

    Lỗ hổng YahooBleed là giọt nước tràn ly khiến Yahoo khai tử ImageMagick. ẢNH: THEHACKERNEWS

    ​Theo Thehackernews, nhà nghiên cứu bảo mật Chris Evans đã phát hiện và công bố công khai lỗ hổng bảo mật Yahoobleed trên blog cá nhân. Evans mô tả YahooBleed#1 (YB1) là cách để tin tặc truy cập tập tin đính kèm trong Yahoo Mail của nạn nhân từ máy chủ Yahoo.

    YB1 khai thác một lỗ hổng có trong ImageMagick – một thư viện xử lý ảnh mã nguồn mở cho phép người dùng thay đổi kích cỡ, cắt xén, làm mờ hay chỉnh sửa hình ảnh. Nó được hỗ trợ bởi PHP, Python, Ruby, Perl, C ++ và nhiều ngôn ngữ lập trình khác. Thư viện xử lý hình ảnh phổ biến này được quan tâm vào năm ngoái khi liên quan đến lỗ hổng zero-day mang tên ImageTragick, cho phép hacker truyền mã độc hại trên máy chủ web bằng cách tải lên hình ảnh được chứa mã độc.

    Không giống như các sự cố rò rỉ thông tin người dùng như Heartbleed và Cloudbleed trước đó, Evans nói rằng Yahoobleed sử dụng phân vùng bộ nhớ chưa kích hoạt, nơi một bộ đệm giải mã hình ảnh trước khi hiển thị trở lại khách hàng, gây rò rỉ bộ nhớ phía máy chủ.

    Để chứng minh nghiên cứu, Evans đã chèn mã khai thác 18 byte vào một tập tin và đính kèm trong email gửi đến email của chính mình. Khi tệp đính kèm hình ảnh được nhấp, nó sẽ khởi chạy ô xem trước hình ảnh, cho phép dịch vụ hiển thị phần hình ảnh vẫn còn tồn tại trong bộ nhớ máy chủ thay vì ảnh gốc. Giải thích nguyên nhân vấn đề, Evans cho rằng hình ảnh JPEG hiển thị trên trình duyệt dựa trên bộ nhớ chưa kích hoạt hoặc đã giải phóng trước đó.

    Theo Evans, lỗ hổng này nằm ở định dạng hình ảnh RLE (Utah Raster Toolkit Run Length Encoded). Một kẻ tấn công chỉ đơn giản tạo ra một hình ảnh RLE thủ công, gửi nó và tạo ra một vòng lặp của các lệnh giao thức rỗng khiến thông tin bị rò rỉ ra ngoài.

    Sau khi Evans thông báo lỗ hổng đến Yahoo, gã khổng lồ công nghệ này đã đưa ra quyết định cho “về vườn” thư viện nguồn mở ImageMagick nhằm tránh bất kỳ lỗ hổng bảo mật khác trong tương lai gây ảnh hưởng đến người sử dụng.

    Evans đã nhận được khoản tiền thưởng trị giá 14.000 USD từ Yahoo do giúp phát hiện lỗ hổng ImageMagick. Tuy nhiên, giá trị giải thưởng đã được Yahoo tăng gấp đôi lên 28.000 USD sau khi biết Evans có nhã ý mang số tiền nhận được đi làm từ thiện.

    Mời bạn dành chút ít thời gian để bầu chọn:

    •   Bài hay!
    •   Bình thường!
    •   Kém!
    Dịch vụ nổi bật – Favourite Business
    Bạn đang tìm kiếm các dịch vụ có liên quan đến Nhà hàng? Báo Viet Times xin giới thiệu:
    Bonsai Arium
    215 Springvale Road, Springvale VIC 3171
    Telephone:
Từ khóa:imagemagicklỗ hổngyahooyahoobleed

Tin Nước Úc

Tin Tức Australia

Thông Tin Về Nước Úc

Taeyeon

Nhà hàng giá rẻ Melbourne

Share phòng

Việc làm Melbourne


Article sourced from VIETGIAITRI.

Original source can be found here: http://www.vietgiaitri.com/cong-nghe/the-gioi-so/2017/05/yahoo-ngung-su-dung-imagemagick-vi-lo-hong-yahoobleed/