ចំនុចខ្សោយនៅក្នុងផលិតផល FireEye បណ្តាលមកពីអីុម៉ែលតែមួយប៉ុណ្ណោះ
អ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន Google ក្នុងគម្រោង Project Zero បានរកឃើញនូវចំនុចខ្សោយមួយនៅក្នងផលិតផលរបស់ FireEye ដែលអាចអនុញ្ញាត ឲ្យអ្នកវាយប្រហារធ្វើការជ្រៀតចូលទៅក្នុងបណ្តាញ/ប្រព័ន្ធបានដោយប្រើប្រាស់តែអីុម៉ែលតែមួយប៉ុណ្ណោះ។
ចំនុចខ្សោយដែលត្រូវបានដាក់ឈ្មោះថា “666” គឺជា passive monitoring hole ដែលត្រូវបានហៅថាជា “nightmare scenario” ដោយ លោក Tavis Ormandy (គាត់ជា hacker ដែលគេទទួលស្គាល់)។ កម្មវិធីសម្រាប់ជួសជុល (Patches) ត្រូវបានគេបញ្ចេញឲ្យទាញយក សម្រាប់ផលិតផល FireEye’s NX, FX និង AX boxes ។
គាត់បានធ្វើការសរសើរដល់ក្រុមហ៊ុន FireEye ដែលបានបញ្ចេញកម្មវិធីជួសជុលកំហុសឆ្គងនេះក្នុងរយៈពេលតែ ២ថ្ងៃប៉ុណ្ណោះ។ ក្រុមហ៊ុន FireEye បានផ្តល់នូវការគាំទ្រ (ជួយ) ដល់អតិថិជនដែលផុតកុងត្រាផងដែរ។
លោក Ormandy បានមានប្រសាសន៍ថា “អ្នកវាយប្រហារគ្រាន់តែធ្វើការបញ្ចូនអីុម៉ែលតែមួយប៉ុណ្ណោះទៅកាន់អ្នកប្រើប្រាស់ ដើម្បីទាញយកនូវការភ្ជាប់ចូល ដើម្បីចាប់ស្តាប់ (network tap) ដោយអ្នកប្រើប្រាស់មិនបាច់បើកមើលអីុម៉ែលឡើយ គឺគ្រាន់តែទទួលវាប៉ុណ្ណោះ ។
ក្រុមហុ៊នដែលមិនទាន់បានធ្វើការជួសជុលកំហុសឆ្គងទាំងនោះទេ គឺកំពុងប្រឈមមុខនឹងហានិភ័យនៃការលួចយក confidential data, ជ្រៀតចូលនិងកែប្រែ traffic, persistent rootkits និងក្នុងបណ្តាញទាំងមូល។
សម្រាប់ឯកសារបចេ្ចកទេសទាំងស្រុង គឺអាចទាញយកនៅទីនេះ។
ប្រភព៖
http://www.theregister.co.uk/2015/12/16/fireeye_ultra_critical_flaw/