Theo Gal Weizman - nhà nghiên cứu an ninh mạng của Công ty PerimeterX (Mỹ), lỗ hổng này có định danh CVE-2020-6519, được tìm thấy trên các trình duyệt nhân Chromium bao gồm Chrome, Opera, Edge trên hệ điều hành Windows, Mac và Android. Các phiên bản Chrome từ 73 đến 83 đều bị ảnh hưởng, có nguy cơ ảnh hưởng đến hàng tỷ người dùng web. Lỗ hổng này đã được vá trong phiên bản Chrome 84.
CSP là một tiêu chuẩn web được sử dụng nhằm ngăn chặn một số loại tấn công nhất định, bao gồm tấn công tập lệnh chéo trang (XSS) và tấn công chèn dữ liệu (data injection). CSP cho phép quản trị web xác định các tên miền mà trình duyệt xem là nguồn hợp lệ của các tập lệnh thực thi. Một trình duyệt tương thích với CSP sẽ chỉ thực thi những tập lệnh được tải từ tệp nguồn của các tên miền có trong CSP.
Weizman cho biết, CSP là biện pháp căn bản mà những người sở hữu trang web sử dụng, nhằm áp đặt chính sách bảo mật dữ liệu phải ngăn chặn thực thi mã độc (shadow code - mã độc từ bên thứ 3) trên trang web của họ. Vì vậy, khi chính sách này của trình duyệt bị vượt qua, sẽ khiến dữ liệu của người dùng đối diện với nhiều rủi ro.
Để khai thác lỗ hổng này, trước tiên tin tặc cần có quyền truy cập tới máy chủ web (thông qua tấn công vét cạn dò mật khẩu hoặc những kỹ thuật khác), để có thể thay đổi những đoạn mã JavaScript được sử dụng. Sau đó, tin tặc có thể thêm những chỉ lệnh frame-src hoặc child-src trong tệp lệnh JavaScript nhằm cho phép mã độc được chèn có thể tải và thực thi, bỏ qua việc thực thi CSP, tức là vượt qua chính sách của trang web.
Do vấn đề hậu xác thực của lỗ hổng, nên lỗ hổng này được đánh giá ở mức độ nghiêm trọng trung bình. Tuy nhiên, vì lỗ hổng ảnh hưởng đến việc thực thi CSP nên sẽ có những tác động lớn. Ví dụ, các nhà phát triển web có thể cho phép thực thi các tập lệnh của bên thứ 3, nhằm bổ sung chức năng trên trang thanh toán của họ, và đặt niềm tin CSP sẽ hạn chế bên thứ 3 truy cập vào các thông tin nhạy cảm. Do vậy, khi CSP bị phá vỡ, nguy cơ đe dọa đối với những trang web dựa vào CSP sẽ cao hơn so với những trang web không dựa vào CSP từ ban đầu.
Lỗ hổng này đã tồn tại trong trình duyệt Chrome từ năm 2019, nhưng những tác động của lỗ hổng vẫn chưa được phát hiện đầy đủ. Theo Weizman, có thể trong thời gian tới, chúng ta sẽ phát hiện ra các vụ vi phạm dữ liệu nhờ khai thác lỗ hổng này, nhằm trích xuất thông tin xác thực cá nhân, phục vụ những mục đích bất chính.
Người dùng được khuyến cáo thực hiện các biện pháp sau:
- Cài đặt bản cập nhật ổn định mới nhất do Google cung cấp trên những hệ thống tồn tại lỗ hổng càng sớm càng tốt.
- Thực thi các phần mềm dưới quyền người dùng để giảm bớt ảnh hưởng nếu tấn công thành công.
- Không truy cập những trang web không tin cậy hoặc nhấn vào các đường dẫn cung cấp bởi các nguồn chưa biết hoặc không tin cậy.
- Cân nhắc nguy cơ mất an toàn từ các đường dẫn trong email hoặc tệp đính kèm, đặc biệt từ các nguồn không tin cậy.
- Áp dụng nguyên tắc đặc quyền thấp nhất cho tất cả hệ thống và dịch vụ.
Quang Minh
Tổng hợp
10:00 | 21/08/2020
14:00 | 17/05/2021
09:00 | 09/02/2021
10:00 | 18/02/2021
14:00 | 08/03/2021
09:00 | 05/08/2020
15:00 | 28/07/2020
09:00 | 02/10/2020
11:00 | 01/02/2021
16:00 | 25/06/2021
16:00 | 27/11/2024
Ngày nay, cụm từ "chuỗi cung ứng" đã vô cùng phổ biến trong những câu chuyện đời sống hàng ngày và trở thành một yếu tố then chốt trong nền kinh tế toàn cầu, đóng vai trò quan trọng trong việc sản xuất và phân phối hàng hóa và dịch vụ. Đây cũng là mục tiêu mà tội phạm công nghệ cao nhắm tới bằng phần mềm độc hại hay nhiều cách thức khác nhau.
09:00 | 08/11/2024
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
07:00 | 14/10/2024
Mới đây, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ Thông tin và Truyền thông) đã cảnh báo các chiến dịch tấn công mạng nguy hiểm nhắm vào các tổ chức và doanh nghiệp. Mục tiêu chính của các cuộc tấn công này là đánh cắp thông tin nhạy cảm và phá hoại hệ thống.
18:00 | 11/10/2024
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
Nhóm tin tặc liên kết với Triều Tiên có tên Kimsuky được cho là liên quan đến một loạt các cuộc tấn công lừa đảo bằng cách gửi các email từ địa chỉ người gửi ở Nga để thực hiện hành vi đánh cắp thông tin đăng nhập.
14:00 | 10/12/2024