Google vá lỗi an ninh trên web quảng cáo

Công ty bảo mật Finjan Software đã phát hiện ra lỗi XSS (cross-site scripting) trên website quảng cáo AdWords của Google và site hướng dẫn khách hàng. Theo Finjan, tin tặc có thể khai thác lỗ hổng này để ăn cắp các tài khoản trên trang Google, thực hiện lừa đảo trực tuyến hoặc thậm chí là phát tán mã nguy hiểm vào máy tính nạn nhân. Trò phishing tìm cách đánh lừa khách hàng nhập thông tin nhạy cảm, như tên người dùng, mật khẩu, thông tin chi tiết về thẻ tín dụng và các con số an sinh.

Công ty Finjan đã thông báo lỗi này với Google từ hồi cuối tháng 9 và khiếm khuyết này sẽ được “bít” trong khoảng 30 ngày, Limor Elbaz, Phó giám đốc công ty bảo mật Finjan cho biết.

Theo Google, đến nay hệ thống dữ liệu người dùng vẫn chưa bị xâm phạm. Lỗi trên website của Google là do site này không xác nhận và lọc dữ liệu nhập vào các trường (field) khác nhau. Điều này đã cho phép kẻ tấn công khai báo nội dung và các script “ngoài lề” chạy trên máy tính người dùng, công ty Finjan cho biết. Để lợi dụng sơ hở này, hacker đã tìm cách tạo ra một đường link đặc biệt, rất giống với đường liên kết của Google và đánh lừa người dùng thực hiện theo hướng dẫn của nó.

Đầu năm nay, lỗ hổng trong dịch vụ e-mail của Google – Gmail, cho phép tin tặc ăn cắp hộp thư của người dùng, cũng được phát hiện.

N.H (theo ZDNet)