Lỗ hổng trình duyệt Google Chrome đe dọa dữ liệu của hàng tỷ người dùng

16:00 | 14/09/2020 | LỖ HỔNG ATTT

Mới đây, một lỗ hổng trên trình duyệt Google Chrome đã bị phát hiện, cho phép tin tặc vượt qua biện pháp bảo vệ chính sách bảo mật nội dung (Content Security Policy - CSP) và đánh cắp dữ liệu của người sử dụng trình duyệt.

Lỗ hổng trình duyệt Google Chrome đe dọa dữ liệu của hàng tỷ người dùng

Theo Gal Weizman - nhà nghiên cứu an ninh mạng của Công ty PerimeterX (Mỹ), lỗ hổng này có định danh CVE-2020-6519, được tìm thấy trên các trình duyệt nhân Chromium bao gồm Chrome, Opera, Edge trên hệ điều hành Windows, Mac và Android. Các phiên bản Chrome từ 73 đến 83 đều bị ảnh hưởng, có nguy cơ ảnh hưởng đến hàng tỷ người dùng web. Lỗ hổng này đã được vá trong phiên bản Chrome 84.

CSP là một tiêu chuẩn web được sử dụng nhằm ngăn chặn một số loại tấn công nhất định, bao gồm tấn công tập lệnh chéo trang (XSS) và tấn công chèn dữ liệu (data injection). CSP cho phép quản trị web xác định các tên miền mà trình duyệt xem là nguồn hợp lệ của các tập lệnh thực thi. Một trình duyệt tương thích với CSP sẽ chỉ thực thi những tập lệnh được tải từ tệp nguồn của các tên miền có trong CSP.

Weizman cho biết, CSP là biện pháp căn bản mà những người sở hữu trang web sử dụng, nhằm áp đặt chính sách bảo mật dữ liệu phải ngăn chặn thực thi mã độc (shadow code - mã độc từ bên thứ 3) trên trang web của họ. Vì vậy, khi chính sách này của trình duyệt bị vượt qua, sẽ khiến dữ liệu của người dùng đối diện với nhiều rủi ro.

Để khai thác lỗ hổng này, trước tiên tin tặc cần có quyền truy cập tới máy chủ web (thông qua tấn công vét cạn dò mật khẩu hoặc những kỹ thuật khác), để có thể thay đổi những đoạn mã JavaScript được sử dụng. Sau đó, tin tặc có thể thêm những chỉ lệnh frame-src hoặc child-src trong tệp lệnh JavaScript nhằm cho phép mã độc được chèn có thể tải và thực thi, bỏ qua việc thực thi CSP, tức là vượt qua chính sách của trang web.

Do vấn đề hậu xác thực của lỗ hổng, nên lỗ hổng này được đánh giá ở mức độ nghiêm trọng trung bình. Tuy nhiên, vì lỗ hổng ảnh hưởng đến việc thực thi CSP nên sẽ có những tác động lớn. Ví dụ, các nhà phát triển web có thể cho phép thực thi các tập lệnh của bên thứ 3, nhằm bổ sung chức năng trên trang thanh toán của họ, và đặt niềm tin CSP sẽ hạn chế bên thứ 3 truy cập vào các thông tin nhạy cảm. Do vậy, khi CSP bị phá vỡ, nguy cơ đe dọa đối với những trang web dựa vào CSP sẽ cao hơn so với những trang web không dựa vào CSP từ ban đầu.

Lỗ hổng này đã tồn tại trong trình duyệt Chrome từ năm 2019, nhưng những tác động của lỗ hổng vẫn chưa được phát hiện đầy đủ. Theo Weizman, có thể trong thời gian tới, chúng ta sẽ phát hiện ra các vụ vi phạm dữ liệu nhờ khai thác lỗ hổng này, nhằm trích xuất thông tin xác thực cá nhân, phục vụ những mục đích bất chính.

Người dùng được khuyến cáo thực hiện các biện pháp sau:

- Cài đặt bản cập nhật ổn định mới nhất do Google cung cấp trên những hệ thống tồn tại lỗ hổng càng sớm càng tốt.

- Thực thi các phần mềm dưới quyền người dùng để giảm bớt ảnh hưởng nếu tấn công thành công.

- Không truy cập những trang web không tin cậy hoặc nhấn vào các đường dẫn cung cấp bởi các nguồn chưa biết hoặc không tin cậy.

- Cân nhắc nguy cơ mất an toàn từ các đường dẫn trong email hoặc tệp đính kèm, đặc biệt từ các nguồn không tin cậy.

- Áp dụng nguyên tắc đặc quyền thấp nhất cho tất cả hệ thống và dịch vụ.

Quang Minh

Tổng hợp

‹ › ×

Tin liên quan

Ứng dụng Microsoft Office dính lỗ hổng nghiêm trọng

10:00 | 21/08/2020

Mới đây, cựu tin tặc Patrick Wardle (NSA) đã phát hiện một lỗ hổng nghiêm trọng bên trong ứng dụng Microsoft Office, cho phép tin tặc có thể chiếm quyền kiểm soát toàn bộ máy Mac.

Người dùng máy tính Dell cần khẩn trương cập nhật bản vá trước 1/6/2021

14:00 | 17/05/2021

Theo báo cáo từ hãng nghiên cứu bảo mật SentinelLabs (Mỹ) thì hàng triệu máy tính Dell có niên đại hơn một thập kỷ có khả năng cao bị tấn công bởi một lỗ hổng bảo mật.

Những rủi ro khi tính năng đồng bộ hóa được bật trên các trình duyệt web

09:00 | 09/02/2021

Hầu hết các trình duyệt đều có tính năng đồng bộ hóa giúp các thiết bị khác nhau của người dùng có thể chia sẻ tab, mật khẩu, lịch sử duyệt web... Tính năng này rất thuận tiện với người dùng thường xuyên sử dụng nhiều thiết bị điện tử khác nhau. Tuy nhiên, điều này tồn tại rủi ro về bảo mật, mất an toàn thông tin cho người dùng.

Các lỗ hổng zero-day trên Google Chrome và Internet Explorer đang bị tin tặc khai thác

10:00 | 18/02/2021

Ngày 04/02/2021, Google đã phát hành một bản vá khẩn cấp để khắc phục một lỗ hổng trên trình duyệt Chrome. Hiện tại, lỗ hổng này đang bị tin tặc lợi dụng trong các cuộc tấn công.

Google Chrome dính lỗ hổng bảo mật nghiêm trọng

14:00 | 08/03/2021

Ngày 02/3/2021, Google đã chính thức phát hành phiên bản Chrome 89. Bản cập nhật này ngoài mang đến những tính năng mới, còn khắc phục cả lỗ hổng zero-day nghiêm trọng mới bị phát hiện.

Cập nhật bản vá lỗ hổng bảo mật tháng 07/2020

09:00 | 05/08/2020

Tháng 07/2020, các hãng Microsoft, Adobe và Oracle đã phát hành các bản cập nhật bảo mật cho các sản phẩm của mình. Người dùng cần khẩn trương cập nhật bản vá để tránh rủi ro mất an toàn thông tin cho các thiết bị, hệ thống công nghệ thông tin.

Apple vá nhiều lỗ hổng trong các thành phần âm thanh

15:00 | 28/07/2020

Apple vừa phát hành bản vá khắc phục lỗ hổng trên các sản phẩm, bao gồm 5 lỗ hổng có thể cho phép thực thi mã tùy ý ảnh hưởng đến các thành phần âm thanh được các hệ điều hành sử dụng và 5 lỗ hổng ảnh hưởng đến macOS Catalina.

Phát hiện lỗ hổng bảo mật nghiêm trọng trên Instagram

09:00 | 02/10/2020

Được hãng nghiên cứu bảo mật Check Point (Israel) phát hiện từ tháng 4, nhưng đến nay Facebook mới công bố sự tồn tại của lỗ hổng trên Instagram, cho phép tin tặc chiếm quyền điều khiển smartphone chỉ bằng một file ảnh chứa mã độc.

Hàng triệu người dùng đã tải xuống 28 tiện ích độc hại trong Chrome và Edge

11:00 | 01/02/2021

Công ty bảo mật Avast (Cộng hòa Séc) cảnh báo, mã độc ẩn trong 28 tiện ích mở rộng của bên thứ ba dành cho các trình duyệt Google Chrome và Microsoft Edge có khả năng chuyển hướng người dùng đến quảng cáo hoặc trang web lừa đảo.

Lỗ hổng bảo mật của Google Chrome ảnh hưởng tới 2 tỷ người dùng

16:00 | 25/06/2021

Trong năm 2021, Google đã phải khắc phục lỗ hổng zero-day tới lần thứ 6 cho trình duyệt Chrome, những lỗ hổng này đe dọa ảnh hưởng tới thông tin cá nhân của 2 tỷ người. Người dùng nên tự cập nhật ngay Chrome phiên bản mới nhất

Tin cùng chuyên mục

Vụ Công ty chứng khoán VNDIRECT bị tấn công, có thể là do mã độc tống tiền

16:00 | 26/03/2024

Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.

Quỹ Tiền tệ Quốc tế bị tấn công mạng

15:00 | 25/03/2024

Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.

Cơ quan an ninh mạng Hoa Kỳ cảnh báo lỗi Microsoft Streaming bị khai thác trong các cuộc tấn công mạng

13:00 | 19/03/2024

Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).

Kho lưu trữ PyPI phân phối phần mềm độc hại WhiteSnake

08:00 | 10/02/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.