Các nhà phát triển Ruby on Rails đã vá lổ hổng mới liên quan đến XSS (cross-site-scripting), được một nhà nghiên cứu bảo mật phát hiện gần đây. Lỗi này ảnh hưởng đến các site phổ biến như Twitter và Basecamp, tuy nhiên trình duyệt Microsoft IE 8 không bị ảnh hưởng nhờ tích hợp bộ lọc XSS.
Nhà nghiên cứu bảo mật, Brian Mastenbrook, phát hiện lỗi này khi thử nghiệm hiển thị unicode trên Twitter. Anh nhận thấy mình có thể lợi dụng cơ chế “dọn dẹp” chuỗi của site và chèn JavaScript. Điều này đã dẫn đến lổ thủng XSS “loại 1″.
Khi có thể tái lập sự cố này trên Basecamp, anh ta bắt đầu nghi ngờ lổ thủng này là lỗi cố hữu của Ruby on Rails, vốn là một Web framework phổ biến được cả 2 site trên sử dụng. Anh cố liên lạc với Twitter và 37Signals (nhóm tạo ra Basecamp) để có phân tích lỗi tốt hơn. Sau khi xác định nguồn gốc là do Rails, anh đã cung cấp thông tin cho đội ngũ Rails để họ có thể xác định lỗi ở đâu.
Lổ thủng đã không được công bố khi Rails phát hành bản vá ngày 3-9. Theo bản tin bảo mật của Rails, lổ thủng này ảnh hưởng đến mọi phiên bản của Rails 2.0. Rails 2.3.4 và 2.2.3 đã được vá. Người dùng các phiên bản cũ được khuyến khích tự cập nhật bản vá.
Quá trình liên hệ với Twiter và Rails diễn ra tốt đẹp, nhưng anh ta phàn nàn rằng 37Signal tỏ ra không lịch sự và chậm chạp về lỗi bảo mật, không có một kênh thích hợp để các nhà nghiên cứu báo cáo về các lổ thủng.
Anh còn nhận thấy rằng lỗi XSS này không ảnh hưởng đến IE 8 vì trình duyệt này có bộ lọc XSS tích hợp bên trong, và khuyến khích các trình duyệt khác cũng nên có tính năng tương tự IE 8.
arstechnica
- Google Chrome 4 Dev Channel, một vì sao đang lên sẽ đẩy lùi thời hoàng kim của Mozilla Firefox vào bóng tối ?
- Microsoft Office phiên bản web sẽ không hỗ trợ các trình duyệt Chrome và Opera
- Secure Browser: Trình duyệt bảo mật của Dell, mới hoàn toàn hay sử dụng lại mã nguồn của ai ?
- Giới thiệu 8 phần mềm antivirus miễn phí tốt nhất năm 2010
- Chrome 6: Bản 6.0.401.1 dev channel đã cho tải về xài. Sự tiến bộ hay chỉ là đánh bóng tên tuổi ?
- Viewsonic công bố màn hình LED thân thiện môi trường với VX2250wm-LED. Đẹp quá !
- Vài thủ thuật hiện hai phụ đề thú vị với KMP
- Immunet Protect 2: Ứng dụng Windows đầu tiên tích hợp nhiều engine quét malware và virus trong một phần mềm
- uTorrent 2.2 đã có “kho” ứng dụng. Là như thế nào ?
- Free Online TV Player 2.0.0.8: Phần mềm xem TV truyền hình trực tuyến, hơn 750 kênh miễn phí
Các tin khác
- Microsoft sẽ phát hành bản vá lỗi khẩn cấp cho IE liên quan đến vụ tấn công Google tại Trung Quốc
- Các công ty bảo mật Arbor Networks và Symantec phát hiện bonet trên Twitter
- Tài khoản Gmail và Twitter của Reddit đã bị hack
- Vì sao Mozilla khóa 2 addon Firefox của Microsoft ?
- Người Canada phát hiện một mạng lưới gián điệp máy tính có qui mô lớn từ Trung Quốc
- Lầu Năm Góc tốn hơn 100 triệu USD để làm sạch hệ thống máy tính sau các cuộc tấn công
- Microsoft cảnh báo lổ hổng zero-day của PowerPoint
- Gián điệp đã xâm nhập mạng lưới điện của Mỹ
- Symantec phát hiện botnet đầu tiên nhắm vào Mac OS X
- Màn hình LCD FlexScan của Eizo Nanao có thể tự nhận biết người dùng có còn ngồi trước màn hình hay không để tắt màn hình, tiết kiệm điện
