Động thái của Google, Apple và Microsoft khi trình duyệt bị lỗi bảo mật

Trong khi Apple và Google khẩn trương tìm cách vá lỗ hổng bảo mật trong các trình duyệt Safari (CVE-2017-2419) và Chrome (CVE-2017-5033) thì Microsoft lại chẳng mảy may để ý. Lỗ hổng bảo mật này được các nhà nghiên cứu của Cisco Talos phát hiện trong các trình duyệt Safari, Chrome và Edge nhưng Microsoft lại cho rằng vấn đề bảo mật này là do thiết kế.

Theo nhà nghiên cứu Nicolai Grødum tại Cisco Talos, lỗ hổng này được phân loại như sự thoát khỏi CSP (Content Security Policy) - một cơ chế cho phép các nhà phát triển web cấu hình các tiêu đề HTTP và hướng dẫn người dùng truy cập trình duyệt nguồn (JavaScript, CSS). Chính sách bảo mật nội dung (CSP) là một trong những công cụ mà các trình duyệt sử dụng để thực thi SOP - Same-Origin Policy (chính sách nguồn gốc giống nhau) bên trong trình duyệt.

Grødum cho biết ông đã tìm ra cách kẻ tấn công vượt qua CSP, tải mã JavaScript độc hại trên một trang web từ xa và thực hiện các hoạt động xâm nhập như thu thập thông tin từ cookie của người dùng hoặc ghi lại các cú pháp nhấn phím trong cấu trúc trang,...

Khai thác lỗ hổng khá đơn giản

Việc khai thác lỗ hổng này trên trình duyệt khá đơn giản - ít nhất với những người có nền tảng trong việc phát triển web. Kẻ tấn công chỉ cần mở một trang web mới thông qua phương pháp “_blank” và sử dụng chức năng document.write để viết mã độc bên trong trang này trước khi tải nội dung thực sự. Nội dung độc hại (hay còn gọi là mã thực hiện cuộc tấn công XSS ban đầu) vẫn còn và giúp những kẻ tấn công vượt qua sự bảo vệ CSP.

Grødum đã tìm ra lỗ hổng vào tháng 11 năm ngoái. Vấn đề này được xếp tầm nghiêm trọng CVSS là 4,3/ 10.

Những người dùng trình duyệt Edge hiện nay dễ dàng bị dính lỗ hổng này trong khi người dùng Google Chrome 57.0.2987.98, iOS 10.3, và Safari 10.1 hoặc các phiên bản mới hơn đều đã được bảo vệ. Còn Firefox thì may mắn không bị ảnh hưởng.