Fica
DTiNews
Nội vụ & Xã hộiHàng triệu người dùng Chrome có thể đang gặp nguy hiểm
(Dân trí) - Google vừa công khai mã khai thác cho một lỗ hổng chưa được vá hoàn toàn trong Chromium. Vấn đề này khiến hàng triệu người dùng Chrome có nguy cơ bị tấn công thông qua website độc hại.
Google vừa phát đi cảnh báo nghiêm trọng liên quan đến một lỗ hổng bảo mật tồn tại trong Chromium, nền tảng mã nguồn mở đứng sau hàng loạt trình duyệt phổ biến như Google Chrome, Microsoft Edge, Brave hay Opera.
Điều gây chú ý không chỉ nằm ở bản thân lỗ hổng, mà còn ở việc Google đã công bố đoạn mã khai thác mẫu khi bản vá hoàn chỉnh vẫn chưa được phát hành rộng rãi. Theo giới chuyên gia an ninh mạng, động thái này có thể khiến tin tặc nhanh chóng tận dụng để phát triển các hình thức tấn công thực tế.
Lỗ hổng được cho là ảnh hưởng tới nhiều trình duyệt nền Chromium như Google Chrome, Brave, Opera hay Vivaldi do cùng hỗ trợ tính năng browser-fetching (Ảnh minh họa: AI).
Theo Ars Technica, lỗ hổng liên quan đến Browser Fetch API, một công nghệ cho phép trình duyệt tải các tệp dung lượng lớn trong nền, chẳng hạn video hoặc dữ liệu đa phương tiện. Tuy nhiên, cơ chế này được cho là có thể bị lợi dụng để vượt qua một số giới hạn bảo mật của trình duyệt.
Lyra Rebane, nhà nghiên cứu an ninh mạng độc lập, cho biết lỗ hổng này đã được báo cáo từ khoảng cuối năm 2022 nhưng đến nay mới được xử lý triệt để hơn. Trong thời gian đó, nguy cơ bị khai thác vẫn tồn tại với hàng triệu thiết bị sử dụng Chromium trên toàn cầu.
Theo chuyên gia an ninh mạng, với các lỗ hổng kiểu này, tin tặc chỉ cần dụ người dùng truy cập website độc hại hoặc nhấp vào quảng cáo chứa mã độc là có thể tiến hành khai thác hệ thống (Ảnh minh họa: AI).
Các chuyên gia bảo mật lo ngại rằng việc công khai proof-of-concept, tức mã khai thác mẫu, trước khi toàn bộ người dùng được cập nhật vá lỗi có thể tạo ra “cuộc đua” giữa hacker và nhà phát triển trình duyệt.
Với các lỗ hổng dạng này, kẻ tấn công thường chỉ cần dụ người dùng truy cập vào một website độc hại hoặc nhúng mã độc trong quảng cáo trực tuyến là có thể thực hiện hành vi khai thác.
Các chuyên gia khuyến cáo người dùng cần cập nhật trình duyệt ngay khi có bản vá mới từ nhà phát triển. Ngoài Chrome, người dùng Edge, Opera, Brave hay Vivaldi cũng cần theo dõi các bản cập nhật tương ứng do những trình duyệt này đều dựa trên Chromium.
Bên cạnh đó, người dùng nên hạn chế truy cập các website lạ, tránh tải tiện ích mở rộng không rõ nguồn gốc và không nhấp vào quảng cáo đáng ngờ.
Trong nhiều trường hợp, tin tặc không cần cài phần mềm độc hại trực tiếp lên máy tính mà chỉ cần khai thác lỗ hổng trình duyệt thông qua nội dung web được thiết kế đặc biệt. Điều này khiến các cuộc tấn công trở nên khó nhận biết hơn với người dùng phổ thông.
Các chuyên gia cho rằng sự việc lần này cũng phản ánh áp lực ngày càng lớn trong việc bảo vệ các nền tảng trình duyệt hiện đại, nơi hàng tỷ người dùng đang thực hiện công việc, giao dịch tài chính và lưu trữ dữ liệu cá nhân mỗi ngày.
