18/09/2018, 15:54

Cảnh Báo: Lỗi nghiêm trọng trong các trình duyệt WEB của Google gây hại cho các tài khoản trực tuyến.

Mới đây vào ngày 24/06/2018 các nhà nghiên cứu của Google đã phát hiện ra lỗ hổng nghiêm trọng trong các trình duyệt web có thể cho phép các trang web bạn truy cập ăn cắp nội dung nhạy cảm từ tài khoản trực tuyến cá nhân. Lỗ hổng này nằm trong cách các trình duyệt xử lý yêu ...

trình duyệt

Mới đây vào ngày 24/06/2018 các nhà nghiên cứu của Google đã phát hiện ra lỗ hổng nghiêm trọng trong các trình duyệt web có thể cho phép các trang web bạn truy cập ăn cắp nội dung nhạy cảm từ tài khoản trực tuyến cá nhân.

trình duyệt

Lỗ hổng này nằm trong cách các trình duyệt xử lý yêu cầu về miền gốc của tệp âm thanh và video. Kẻ xấu có thể lợi dụng lỗ hổng này để khai thác trái phép, đọc được nôij dung trong thư điện tử Gmail hoặc tin nhắn Facebook của bạn.

Bật tính năng “Bảo vệ nâng cao” mới của google nếu bạn không muốn bị tấn công.

Vì lý do bảo mật, các trình duyệt web hiện đại không cho phép các trang web thực hiện yêu cầu ngoài miền gốc đến một tên miền khác, trừ trường hợp tên miền nào cho phép một cách rõ ràng. Điều đó có nghĩa là, nếu bạn truy cập một trang web trên trình duyệt của mình, nó chỉ có thể yêu cầu dữ liệu từ cùng một nguồn gốc mà trang web tải lên, ngăn nó thực hiện bất kỳ yêu cầu trái phép nào nhằm ăn cắp dữ liệu của bạn từ các trang web khác.

Tuy nhiên, trình duyệt web lại không phản hồi theo cách tương tự trong khi tìm nạp tệp phương tiện được lưu trữ trên các nguồn khác. Điều này cho phép trang web bạn truy cập và tải tệp âm thanh/video từ các miền khác nhau mà không bị hạn chế bởi điều gì. Hơn nữa, các trình duyệt cũng hỗ trợ phạm vi của tiêu đề và sử dụng một phần nội dung, nhằm cho phép các trang web phân phối một phần nội dung của tệp phương tiện lớn.

Archibald nhận thấy Mozilla FireFox và Microsoft Edge cho phép các thành phần của phương tiện truyền thông kết hợp dữ liệu hiển thị và không hiển thị, hoặc dữ liệu không hiển thị từ nhiều nguồn với nhau, để lại một khả năng tấn công tinh vi cho kẻ tấn công.

Hơn nữa, Archibald còn cho rằng lỗ hổng này có thể bị khai thác bởi một trang web độc hại bằng cách sử dụng tệp phương tiện được “nhúng” trên trang web. Nếu phương tiện này được tiến hành thì thì một phần nội dung từ máy chủ của chính nó được sử dụng, nhưng đồng thời cũng yêu cầu trình duyệt tìm lấy phần còn lại của tệp từ một miền khách, có nghĩa là nó sẽ tự động bắt buộc trình duyệt thực hiện yêu cầu đến một miền ngoài miền gốc. Đây là yêu cầu đáng lẽ ra nên bị hạn chế, nhưng trong tương lai sẽ thành công. Vì sao? Vì thực chất việc tổng hợp dữ liệu hiển thị và không hiển thị được cho phép đối với tệp phương tiện, dẫn đến việc cho phép một trang web đánh cắp nội dung từ một bên khác.

Archibald đã xuất bản video nhằm chứng minh chứng cho thấy trang web độc hại có thể ăn cắp thông tin cá nhân của bạn từ các trang web như Gmail và Facebook như thế nào. Vì Chrome và Safari đã có chính sách từ chối các yêu cầu ngoài miền gốc ngay khi họ thấy bất kỳ sự chuyển hứng dữ liệu nên người dùng của họ đã được bảo vệ.

“Tôi tin rằng Chrome đã có một vấn đề bảo mật tương tự từ lâu, nhưng thay vì chỉ sửa chữa không thì việc này nên đã được viết thành một tiêu chuẩn, và các kiểm nghiệm sau cần phải được viết cho các trình duyệt khác để kiểm tra” Archibald nói.

FireFox và Edge là 2 trình duyệt dễ bị ảnh hưởng bởi vấn đề này nhất. Sau khi Archibald báo cáo trách nhiệm cho các nhóm bảo mật của cả 2 công ty, phía công ty đã cho sửa lỗi qua bản cập nhật mới nhất. Do đó, người dùng được nên cập nhật và sử dụng phiên bản mới để giảm thiểu nguy cơ bị tấn công.

XEM THÊM: Trang thứ ba chính thức bị Google cài đặt tiện ích chặn trên Chrome

Bài liên quan

Cảnh Báo: Lỗi nghiêm trọng trong các trình duyệt WEB của Google gây hại cho các tài khoản trực tuyến.

Mới đây vào ngày 24/06/2018 các nhà nghiên cứu của Google đã phát hiện ra lỗ hổng nghiêm trọng trong các trình duyệt web có thể cho phép các trang web bạn truy cập ăn cắp nội dung nhạy cảm từ tài khoản trực tuyến cá nhân. Lỗ hổng này nằm trong cách các trình duyệt xử lý yêu ...

Bùi Văn Nam viết 4 tuần trước

Apple lên tiếng xin lỗi người dùng vì lỗ hổng bảo mật nghiêm trọng trong hệ điều hành MacOS

Vào ngày 28/11/2017 một lỗ hổng bảo mật nghiêm trọng của hệ điều hành macOS High Sierra đã được phát hiện. Lỗ hổng bảo mật này cho phép truy cập vào bất kỳ chiếc máy tính Mac nào chạy phiên bản High Sierra mà không cần tới tên đăng nhập hay mật khẩu. Thay vào điền tên đăng nhập chỉ cần gõ chữ ...

Trần Trung Dũng viết 4 tuần trước

Google phát hiện một lỗi nghiêm trọng trong các trình duyệt web

Nhà nghiên cứu của Google đã phát hiện ra lỗ hổng nghiêm trọng trong các trình duyệt web có thể cho phép các trang web bạn truy cập ăn cắp nội dung nhạy cảm từ tài khoản trực tuyến cá nhân. Jake Archibald đã phát hiện lỗ hổng nằm trong cách các trình duyệt xử lý yêu cầu về miền gốc của ...

Trần Trung Dũng viết 4 tuần trước

[Cảnh báo] Badlock – Lỗ hổng bảo mật nghiêm trọng ảnh hưởng trên tất cả phiên bản Windows và Samba

Các chuyên gia nghiên cứu bảo mật vừa mới phát hiện một lỗ hổng nghiêm trọng ảnh hưởng đến hầu hết các phiên bản Windows và Samba. Lỗ hổng sẽ được vá vào 12/4/2016 theo thông báo của nhóm phát triển Samba. Cần đặc biệt lưu ý, nếu bạn là quản trị viên Windows hoặc Samba File Server (Máy chủ chia sẻ ...

Tạ Quốc Bảo viết 4 tuần trước

Lỗ hổng bảo mật nghiêm trọng “Rootpipe” trong Mac OS X Yosemite

Hacker người Thụy Điển Emil Kvarnhamma đã tìm ra một lỗ hổng nghiêm trọng trong Mac OS Yosemite có tên là ‘Rootpipe’. Hiện chưa có công bố về POC (bản chứng minh) và chi tiết lỗ hổng này vì Apple đã yêu cầu Emil không tiết lộ lỗ hổng đến tháng 1 năm 2015. Điều này có nghĩa là Apple ...

Trịnh Tiến Mạnh viết 4 tuần trước
0