Lỗ hổng trình duyệt Google Chrome đe dọa dữ liệu của hàng tỷ người dùng

Đình Lượng
15/09/2020 11:03
D

Mới đây, một lỗ hổng trên trình duyệt Google Chrome đã bị phát hiện, cho phép tin tặc vượt qua biện pháp bảo vệ chính sách bảo mật nội dung (Content Security Policy - CSP) và đánh cắp dữ liệu của người sử dụng trình duyệt.

Theo Gal Weizman - nhà nghiên cứu an ninh mạng của Công ty PerimeterX (Mỹ), lỗ hổng này có định danh CVE-2020-6519, được tìm thấy trên các trình duyệt nhân Chromium bao gồm Chrome, Opera, Edge trên hệ điều hành Windows, Mac và Android. Các phiên bản Chrome từ 73 đến 83 đều bị ảnh hưởng, có nguy cơ ảnh hưởng đến hàng tỷ người dùng web. Lỗ hổng này đã được vá trong phiên bản Chrome 84.

CSP là một tiêu chuẩn web được sử dụng nhằm ngăn chặn một số loại tấn công nhất định, bao gồm tấn công tập lệnh chéo trang (XSS) và tấn công chèn dữ liệu (data injection).

Bên cạnh đó, CSP cho phép quản trị web xác định các tên miền mà trình duyệt xem là nguồn hợp lệ của các tập lệnh thực thi. Một trình duyệt tương thích với chính sách này sẽ chỉ thực thi những tập lệnh được tải từ tệp nguồn của các tên miền có sẵn.

Weizman cho biết, CSP là biện pháp căn bản mà những người sở hữu trang web sử dụng, nhằm áp đặt chính sách bảo mật dữ liệu phải ngăn chặn thực thi mã độc (shadow code - mã độc từ bên thứ 3) trên trang web của họ. Vì vậy, khi chính sách này của trình duyệt bị vượt qua, sẽ khiến dữ liệu của người dùng đối diện với nhiều rủi ro.

Để khai thác lỗ hổng này, trước tiên tin tặc cần có quyền truy cập tới máy chủ web (thông qua tấn công vét cạn dò mật khẩu hoặc những kỹ thuật khác), để có thể thay đổi những đoạn mã JavaScript được sử dụng.

Sau đó, tin tặc có thể thêm những chỉ lệnh frame-src hoặc child-src trong tệp lệnh JavaScript nhằm cho phép mã độc được chèn có thể tải và thực thi, bỏ qua việc thực thi CSP, tức là vượt qua chính sách của trang web.

Do vấn đề hậu xác thực của lỗ hổng, nên lỗ hổng này được đánh giá ở mức độ nghiêm trọng trung bình. Tuy nhiên, vì lỗ hổng ảnh hưởng đến việc thực thi CSP nên sẽ có những tác động lớn. 

Như các nhà phát triển web có thể cho phép thực thi các tập lệnh của bên thứ 3, nhằm bổ sung chức năng trên trang thanh toán của họ, và đặt niềm tin CSP sẽ hạn chế bên thứ 3 truy cập vào các thông tin nhạy cảm. Do vậy, khi CSP bị phá vỡ, nguy cơ đe dọa đối với những trang web dựa vào CSP sẽ cao hơn so với những trang web không dựa vào CSP từ ban đầu.

Lỗ hổng này đã tồn tại trong trình duyệt Chrome từ năm 2019, nhưng những tác động của lỗ hổng vẫn chưa được phát hiện đầy đủ. Theo Weizman, có thể trong thời gian tới, chúng ta sẽ phát hiện ra các vụ vi phạm dữ liệu nhờ khai thác lỗ hổng này, nhằm trích xuất thông tin xác thực cá nhân, phục vụ những mục đích bất chính.

Người dùng được khuyến cáo thực hiện các biện pháp sau:

- Cài đặt bản cập nhật ổn định mới nhất do Google cung cấp trên những hệ thống tồn tại lỗ hổng càng sớm càng tốt.

- Thực thi các phần mềm dưới quyền người dùng để giảm bớt ảnh hưởng nếu tấn công thành công.

- Không truy cập những trang web không tin cậy hoặc nhấn vào các đường dẫn cung cấp bởi các nguồn chưa biết hoặc không tin cậy.

- Cân nhắc nguy cơ mất an toàn từ các đường dẫn trong email hoặc tệp đính kèm, đặc biệt từ các nguồn không tin cậy.

- Áp dụng nguyên tắc đặc quyền thấp nhất cho tất cả hệ thống và dịch vụ.

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Tấn công mạng trong năm 2022 có mức độ nghiêm trọng chưa từng có

Tấn công mạng trong năm 2022 có mức độ nghiêm trọng chưa từng có

 5 bước bảo vệ doanh nghiệp suốt mùa lễ Tết

 5 bước bảo vệ doanh nghiệp suốt mùa lễ Tết

Top 5 mối đe dọa các DNVVN cần đề phòng trong năm 2023

Top 5 mối đe dọa các DNVVN cần đề phòng trong năm 2023

An ninh mạng - Nền tảng cho mọi hoạt động của xã hội trong không gian số

An ninh mạng - Nền tảng cho mọi hoạt động của xã hội trong không gian số

TikTok đang bị coi là mối đe doạ an ninh mới với nước Mỹ

TikTok đang bị coi là mối đe doạ an ninh mới với nước Mỹ

96% các doanh nghiệp sở hữu hệ thống OT tại Việt Nam ghi nhận sự cố tấn công an ninh mạng

96% các doanh nghiệp sở hữu hệ thống OT tại Việt Nam ghi nhận sự cố tấn công an ninh mạng

Rủi ro an ninh mạng gia tăng do robot hóa

Rủi ro an ninh mạng gia tăng do robot hóa

Xu hướng tội phạm mạng năm 2023 có gì mới?

Xu hướng tội phạm mạng năm 2023 có gì mới?

'Cần tăng cường an ninh mạng thông qua hợp tác'

'Cần tăng cường an ninh mạng thông qua hợp tác'

Rủi ro bảo mật từ ứng dụng Qatar World Cup

Rủi ro bảo mật từ ứng dụng Qatar World Cup

Lượng mã độc đào tiền mã hóa tăng chóng mặt

Lượng mã độc đào tiền mã hóa tăng chóng mặt

Nguy cơ tấn công mạng vào hệ thống tại Việt Nam từ 18 lỗ hổng trong sản phẩm Microsoft

Nguy cơ tấn công mạng vào hệ thống tại Việt Nam từ 18 lỗ hổng trong sản phẩm Microsoft

Tin mới cập nhật

Đặt trước Galaxy S23 series, tiết kiệm đến 10 triệu đồng

Đặt trước Galaxy S23 series, tiết kiệm đến 10 triệu đồng

Reno8 T series và Galaxy S23 series: Có gì mới?

Reno8 T series và Galaxy S23 series: Có gì mới?

Giải pháp nào cho sự thiếu hụt nhân sự CNTT tại Đông Nam Á?

Giải pháp nào cho sự thiếu hụt nhân sự CNTT tại Đông Nam Á?

Du xuân chùa Trăm Gian - Cổ tự được ba đời vua sắc phong

Du xuân chùa Trăm Gian - Cổ tự được ba đời vua sắc phong

VESPA 946 phiên bản đặc biệt 'Quý Mão'

VESPA 946 phiên bản đặc biệt 'Quý Mão'

Triển vọng kinh doanh của Samsung có thể sẽ bị thâm hụt lớn nửa đầu năm 2023

Triển vọng kinh doanh của Samsung có thể sẽ bị thâm hụt lớn nửa đầu năm 2023

MSS của Kaspersky dẫn đầu tại Quadrant Knowledge Solution

MSS của Kaspersky dẫn đầu tại Quadrant Knowledge Solution

Cách cài đặt theo dõi lịch âm trên điện thoại di động

Cách cài đặt theo dõi lịch âm trên điện thoại di động

Phong Thổ (Lai Châu): Điểm sáng trong phát triển kinh tế - xã hội

Phong Thổ (Lai Châu): Điểm sáng trong phát triển kinh tế - xã hội

Tân Niên Phú Quý - Bộ sưu tập vàng được định danh bằng công nghệ NFC

Tân Niên Phú Quý - Bộ sưu tập vàng được định danh bằng công nghệ NFC

PV GAS PMC - Mùa đông ấm áp, Năm mới bình an

PV GAS PMC - Mùa đông ấm áp, Năm mới bình an

Keysight và Qualcomm tăng tốc liên lạc mạng vệ tinh 5G

Keysight và Qualcomm tăng tốc liên lạc mạng vệ tinh 5G

Tin đọc nhiều

C-mSafe - Ứng dụng bảo vệ người dùng thiết bị di động trước nguy cơ tấn công mạng

C-mSafe - Ứng dụng bảo vệ người dùng thiết bị di động trước nguy cơ tấn công mạng

Nâng cao hệ thống an ninh mạng để bảo vệ nền kinh tế số

Nâng cao hệ thống an ninh mạng để bảo vệ nền kinh tế số

Bảo vệ dữ liệu doanh nghiệp: Vấn đề sống còn trong kỷ nguyên số

Bảo vệ dữ liệu doanh nghiệp: Vấn đề sống còn trong kỷ nguyên số

Phát hiện website giả mạo Cổng thông tin điện tử Bộ Công an để lừa đảo

Phát hiện website giả mạo Cổng thông tin điện tử Bộ Công an để lừa đảo

Nguy cơ tấn công mạng vào các hệ thống Việt Nam từ lỗ hổng trong sản phẩm của WSO2

Nguy cơ tấn công mạng vào các hệ thống Việt Nam từ lỗ hổng trong sản phẩm của WSO2

Bản cập nhật Defender nhầm Office là mã độc tống tiền

Bản cập nhật Defender nhầm Office là mã độc tống tiền

Điểm truy nhập Wi-Fi Internet công cộng tiềm ẩn nhiều nguy cơ về an toàn thông tin

Điểm truy nhập Wi-Fi Internet công cộng tiềm ẩn nhiều nguy cơ về an toàn thông tin

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Quy trình quản lý vật chứa bí mật nhà nước

Quy trình quản lý vật chứa bí mật nhà nước

Video xem nhiều

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Những gì bạn muốn biết về 5G

Những gì bạn muốn biết về 5G

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019