Tin tặc tấn công người dùng Gmail qua lỗi Flash

Hôm 6/6/2011 Adobe xác nhận, lỗi Flash Player họ đã vá hôm Chủ nhật 5/6/2011 đang bị sử dụng để ăn cắp thông tin đăng nhập của người sử dụng Gmail.

Lỗ hổng đã được vá hôm 5/6/2011 trong một bản cập nhật khẩn cấp. Đây là bản sửa lỗi thứ 2 trong vòng chưa đầy 4 tuần cho Flash, và là bản sửa lỗi thứ 5 trong năm nay. Một miếng vá vào thời điểm cuối tuần là rất không bình thường đối với Adobe.

"Chúng tôi đã thông báo rằng, lỗ hổng này đang bị khai thác trong các cuộc tấn công có chủ đích được thiết kế để lừa người dùng nhắp chuột vào một liên kết độc hại trong e-mail", hôm 6/6/2011 người phát ngôn Wiebke Lips của Adobe cho biết. "Những báo cáo chúng tôi nhận được cho biết rằng, các cuộc tấn công hiện nay đang nhằm đặc biệt vào Gmail. Tuy nhiên, chúng tôi không thể nói rằng, các nhà cung cấp webmail khác không phải là đối tượng tấn công".

Theo Adobe, lỗ hổng Flash này là một lỗi XSS (cross-site scripting - kịch bản liên trang). Các lỗ hổng XSS thường bị những tên trộm ID sử dụng để cướp username/password từ những trình duyệt bị hổng. Trong trường hợp này, bản thân các trình duyệt không bị nhắm tới. Thay vào đó, những kẻ tấn công đang khai thác lỗ hổng plug-in Flash Player của trình duyệt (hầu như mỗi người sử dụng đều đã cài đặt plug-in này).

Adobe cho biết, Google đã báo cáo lỗ hổng Flash Player cho đội bảo mật của họ. Hôm 5/6/2011, Adobe đã cập nhật các phiên bản Flash Player cho Windows, Mac OS X, Linux và cho biết, họ sẽ tung ra bản vá cho phiên bản Android trong tuần này.

Người dùng có thể tải về bản vá của Flash Player từ website của Adobe.