Phát hiện lỗ hổng cho phép các trang web ghi đè nội dung trong khay nhớ tạm của trình duyệt

HaiiDeas

Viết dạo...
Tham gia
23/4/16
Bài viết
13,873
Được thích
17,166
888 #1

Theo phát hiện mới đây từ các nhà phát triển của Google, lỗ hổng bảo mật này cho phép kẻ xấu lợi dụng trang web giả mạo để ghi đè nội dung độc hại dựa trên khay nhớ tạm của trình duyệt Chrome, Firefox và Safari.

Nhà phát triển của Google, Jeff Johnson, đã giải thích cách thức kích hoạt lỗ hổng bảo mật theo nhiều phương pháp khác nhau, nhưng tất cả đều cấp cho trang web quyền ghi đè nội dung trên khay nhớ tạm. Sau khi được cấp, người dùng có thể bị ảnh hưởng khi chủ động kích hoạt hành động cắt hoặc sao chép, nhấp vào các liên kết trong trang hoặc thậm chí là thực hiện những hành động đơn giản như cuộn lên hoặc xuống trên trang đó.

Để chia sẻ chi tiết hơn về lỗ hổng này, lập trình viên này đã sử dụng video mô tả từ tài khoản Twitter @Sime và chỉ ra rằng trong khi người dùng Firefox và Safari phải chủ động sao chép nội dung vào khay nhớ tạm bằng thao tác Control + C hoặc ⌘ + C, thì người dùng Chrome có thể bị ảnh hưởng dễ dàng hơn vì chỉ cần truy cập vào một trang web mà không cần thực hiện thao tác tương tự.


Mặc dù bề ngoài lỗ hổng có vẻ không gây hại, nhưng người dùng vẫn nên biết cách các tác nhân độc hại có thể lợi dụng việc hoán đổi nội dung để khai thác những dữ liệu quan trọng. Ví dụ: một trang web gian lận có thể thay thế URL đã sao chép trước đó bằng một liên kết khác, vô tình dẫn người dùng đến các trang web được thiết kế để thu thập thông tin và xâm phạm quyền riêng tư.

Lỗ hổng này cũng có khả năng thay thế các địa chỉ ví tiền điện tử đã sao chép được lưu vào khay nhớ tạm bằng địa chỉ của một ví khác do bên thứ ba kiểm soát. Khi giao dịch đã diễn ra và tiền được gửi đến ví gian lận.

Theo The Hacker News, Google đã biết về lỗ hổng bảo mật này và dự kiến sẽ tung ra bản vá trong thời gian tới.

Xem thêm:

TECHRUM.VN / THEO: TECHSPOT
 
Top Bottom