Lỗ hổng trong Google Chrome cho phép tin tặc vượt qua các chính sách bảo mật nội dung(CSP protection); nên cập nhật trình duyệt ngay

848
27-08-2020
Lỗ hổng trong Google Chrome cho phép tin tặc vượt qua các chính sách bảo mật nội dung(CSP protection); nên cập nhật trình duyệt ngay

Bizfly Cloud chia sẻ - Nếu bạn vẫn chưa cập nhật các bản update gần đây nhất của Chrome, Opera hay Micriosodt Edge Browser trên máy tính, vậy thì hãy thực hiện điều đó ngay lập tức, và càng sớm càng tốt!

Các chuyên gia an ninh mạng đã tiết lộ chi tiết về lỗ hổng Zero-day trong trình duyệt web dựa trên Chromium vào hôm thứ 2 vừa qua. Lỗ hổng này nhắm tới Windows, Mac và Android, có thể cho phép kẻ tấn công bỏ qua hoàn toàn các quy tắc của Chính sách bảo mật nội dung (CSP) kể từ phiên bản Chrome 73.

Được tìm ra với tên gọi CVE-2020-6519 (đánh giá lỗ hổng đạt 6,5/10 trên thang điểm hệ thống CVSS),  lỗ hổng bắt nguồn từ việc các Hacker vượt qua CSP dẫn đến việc thực thi mã độc tùy ý trên các trang web bị tấn công.

Theo PerimeterX, một số trang web phổ biến nhất, bao gồm Facebook, Wells Fargo, Zoom, Gmail, WhatsApp, Investopedia, ESPN, Roblox, Indeed, TikTok, Instagram, Blogger và Quora, dễ bị bỏ qua CSP, tạo điều kiện cho các Hacker xâm nhập.

Thú vị là dường như một lỗ hổng tương tự CVE-2020-6519 cũng đã từng được Tencent Security Xuanwu Lab cảnh báo vào hơn một năm về trước, chỉ một tháng sau khi phiên bản Chrome 73 được phát hành vào tháng 3 năm 2019. Tuy nhiên chưa được giải quyết cho đến khi PerimeterX báo cáo vấn đề này vào đầu tháng 3 năm nay.

Sau khi thông tin về CVE-2020-6519 được tiết lộ cho Google, nhóm các nhà phát triển của Chrome đã phát hành bản vá lỗi cho lỗ hổng trong bản cập nhật Chrome 84 (phiên bản 84.0.4147.89), chính thức ra mắt người dùng vào ngày 14 tháng 7 tháng trước.

CSP (Content Security Policy) là một lớp bảo mật bổ sung cho phép phát hiện và giảm thiểu một số loại tấn công, bao gồm cả các cuộc tấn công Cross-Site Scripting (XSS) và Data Injection. Với các quy chuẩn CSP, một trang web có thể yêu cầu trình duyệt của người bị hại thực hiện các loại kiểm tra nhất định, nhằm mục đích ngăn chặn các dòng lệnh được viết đặc biệt để chiếm sự tin cậy của trình duyệt và tiếp nhận nội dung từ máy chủ.

Do CSP là phương pháp chính được người dùng sử dụng để thực thi các chính sách bảo mật dữ liệu và ngăn chặn việc thực thi các tập lệnh độc hại, một khi vượt qua được CSP dữ liệu của người dùng có thể gặp rủi ro cao.

Điều này chỉ xảy ra khi thực hiện chỉ định các domain mà trình duyệt cho là hợp lệ của các tập lệnh thực thi, sau đó để trình duyệt tương thích với CSP chỉ thực thi các tập lệnh được tải trong các tệp lệnh nhận được từ các domain được cho phép và bỏ qua tất cả các domain khác.

Lỗ hổng được Tencent và PerimeterX phát hiện đã phá vỡ cấu hình CSP cho một trang web bằng cách phát một mã JavaScript độc hại trong thẻ "src" của cấu trúc iframe HTML.

Cần lưu ý rằng các trang web như Twitter, Github, LinkedIn, Google Play Store, Trang đăng nhập của Yahoo, PayPal và Yandex không bị phát hiện có lỗ hổng này vì các chính sách CSP được triển khai bằng cách sử dụng Nonce (Number used Once - số chỉ sử dụng 1 lần) hoặc Hash (hàm băm) để thực thi các tệp lệnh.

"Có lỗ hổng trong cơ chế thực thi CSP của Chrome không có nghĩa là các trang web đang bị xâm phạm, vì những kẻ tấn công cũng cần quyền quản lý để gọi  được đến các tập lệnh độc hại từ trang web (đó là lý do tại sao CVE-2020-6519 được phân loại là lỗ hổng có mức độ nghiêm trọng trung bình)" - theo Gal Weizman - nhân viên của PerimeterX .

Mặc dù độ nguy hại của CVE-2020-6519 vẫn chưa được khai thác hết, nhưng người dùng cần phải cập nhật trình duyệt của họ lên phiên bản mới nhất để đề phòng việc các thiết bị có khả năng bị tấn công. Bên cạnh đó, các nhà phát triển web cũng được khuyến nghị sử dụng các phương pháp Nonce và Hash của CSP để tăng cường bảo mật.

Theo thehackernews

>> Có thể bạn quan tâm: 5 sự cố bảo mật Kubernetes và chúng ta học được gì từ đó?

Bizfly Cloud là hệ sinh thái điện toán đám mây được vận hành bởi VCCorp - Công ty dẫn đầu trong lĩnh vực truyền thông và công nghệ tại Việt Nam, đáp ứng đầy đủ toàn bộ tiêu chí, chỉ tiêu kỹ thuật của nền tảng điện toán đám mây của Bộ TT&TT. Hệ sinh thái đám mây do Việt Nam phát triển và làm chủ, cung cấp đa dịch vụ với chi phí thấp nhất. Dành cho độc giả quan tâm tới các dịch vụ đám mây do Bizfly Cloud cung cấp có thể truy cập tại đây.
SHARE