Theo Gal Weizman - nhà nghiên cứu an ninh mạng của Công ty PerimeterX (Mỹ), lỗ hổng này có định danh CVE-2020-6519, được tìm thấy trên các trình duyệt nhân Chromium bao gồm Chrome, Opera, Edge trên hệ điều hành Windows, Mac và Android. Các phiên bản Chrome từ 73 đến 83 đều bị ảnh hưởng, có nguy cơ ảnh hưởng đến hàng tỷ người dùng web. Lỗ hổng này đã được vá trong phiên bản Chrome 84.
CSP là một tiêu chuẩn web được sử dụng nhằm ngăn chặn một số loại tấn công nhất định, bao gồm tấn công tập lệnh chéo trang (XSS) và tấn công chèn dữ liệu (data injection). CSP cho phép quản trị web xác định các tên miền mà trình duyệt xem là nguồn hợp lệ của các tập lệnh thực thi. Một trình duyệt tương thích với CSP sẽ chỉ thực thi những tập lệnh được tải từ tệp nguồn của các tên miền có trong CSP.
Weizman cho biết, CSP là biện pháp căn bản mà những người sở hữu trang web sử dụng, nhằm áp đặt chính sách bảo mật dữ liệu phải ngăn chặn thực thi mã độc (shadow code - mã độc từ bên thứ 3) trên trang web của họ. Vì vậy, khi chính sách này của trình duyệt bị vượt qua, sẽ khiến dữ liệu của người dùng đối diện với nhiều rủi ro.
Để khai thác lỗ hổng này, trước tiên tin tặc cần có quyền truy cập tới máy chủ web (thông qua tấn công vét cạn dò mật khẩu hoặc những kỹ thuật khác), để có thể thay đổi những đoạn mã JavaScript được sử dụng. Sau đó, tin tặc có thể thêm những chỉ lệnh frame-src hoặc child-src trong tệp lệnh JavaScript nhằm cho phép mã độc được chèn có thể tải và thực thi, bỏ qua việc thực thi CSP, tức là vượt qua chính sách của trang web.
Do vấn đề hậu xác thực của lỗ hổng, nên lỗ hổng này được đánh giá ở mức độ nghiêm trọng trung bình. Tuy nhiên, vì lỗ hổng ảnh hưởng đến việc thực thi CSP nên sẽ có những tác động lớn. Ví dụ, các nhà phát triển web có thể cho phép thực thi các tập lệnh của bên thứ 3, nhằm bổ sung chức năng trên trang thanh toán của họ, và đặt niềm tin CSP sẽ hạn chế bên thứ 3 truy cập vào các thông tin nhạy cảm. Do vậy, khi CSP bị phá vỡ, nguy cơ đe dọa đối với những trang web dựa vào CSP sẽ cao hơn so với những trang web không dựa vào CSP từ ban đầu.
Lỗ hổng này đã tồn tại trong trình duyệt Chrome từ năm 2019, nhưng những tác động của lỗ hổng vẫn chưa được phát hiện đầy đủ. Theo Weizman, có thể trong thời gian tới, chúng ta sẽ phát hiện ra các vụ vi phạm dữ liệu nhờ khai thác lỗ hổng này, nhằm trích xuất thông tin xác thực cá nhân, phục vụ những mục đích bất chính.
Người dùng được khuyến cáo thực hiện các biện pháp sau:
- Cài đặt bản cập nhật ổn định mới nhất do Google cung cấp trên những hệ thống tồn tại lỗ hổng càng sớm càng tốt.
- Thực thi các phần mềm dưới quyền người dùng để giảm bớt ảnh hưởng nếu tấn công thành công.
- Không truy cập những trang web không tin cậy hoặc nhấn vào các đường dẫn cung cấp bởi các nguồn chưa biết hoặc không tin cậy.
- Cân nhắc nguy cơ mất an toàn từ các đường dẫn trong email hoặc tệp đính kèm, đặc biệt từ các nguồn không tin cậy.
- Áp dụng nguyên tắc đặc quyền thấp nhất cho tất cả hệ thống và dịch vụ.
Quang Minh
Tổng hợp
10:00 | 21/08/2020
14:00 | 17/05/2021
09:00 | 09/02/2021
10:00 | 18/02/2021
14:00 | 08/03/2021
09:00 | 05/08/2020
15:00 | 28/07/2020
09:00 | 02/10/2020
11:00 | 01/02/2021
16:00 | 25/06/2021
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024
