Hôm thứ 2 vừa rồi, các nhà nghiên cứu bảo mật đã tiết lộ về lỗ hổng bảo mật zero-day nghiêm trọng trên các trình duyệt nhân Chromium chạy trên Windows, Mac và Android. Lỗ hổng này cho phép hacker vượt qua các quy tắc của Chính sách bảo mật nội dung (CSP) được ra mắt từ Chrome 73.
Lỗ hổng mang tên mã CVE-2020-6519 này được xếp hạng 6.5 trên thang độ nguy hiểm của CVSS. Khi vượt qua được CSP, hacker sẽ có thể chạy bất cứ mã độc nào trên trang web của nạn nhân.
Các trang web phổ biến như Facebook, Wells Fargo, Zoom, Gmail, WhatsApp, Investopedia, ESPN, Roblox, Indeed, TikTok, Instagram, Blogger và Quora đều có thể bị tấn công bằng lỗ hổng này.
Thực tế, trung tâm bảo mật Tencent Security Xuanwu Lab đã phát hiện ra lỗ hổng CVE-2020-6519 từ hơn một năm trước, chỉ 1 tháng sau khi Chrome 73 được ra mắt với CSP. Tuy nhiên, chẳng ai để ý và khắc phục nó cho tới khi trung tâm PerimeterX một lần nữa phát hiện ra và báo cáo về nó đầu tháng 3 này.
Sau khi nhận được thông báo, nhóm phát triển Chrome của Google đã tiến hành vá lỗ hổng CVE-2020-6519 trong bản cập nhật Chrome 84 được tung ra hôm 14/7.
CSP là một lớp bảo mật bổ sung giúp phát hiện và giảm thiểu một só loại hình tấn công nhất định, bao gồm cả tấn công Cross-Site Scripting (XSS) và kiểu tấn công tiêm nhiễm mã độc vào dữ liệu. Với CSP, trang web có thể yêu cầu trình duyệt thực hiện các kiểm tra nhất định nhằm ngăn chặn các tập tin chứa mã độc.
Vì thế, khi hacker vượt qua được CSP, dữ liệu của người dùng sẽ bị đe dọa.
Bên cạnh vá lỗ hổng CVE-2020-6519, bản cập nhật Chrome 84 còn vá 15 lỗ hổng bảo mật khác. Trong số đó, có 12 lỗ hổng được đánh giá ở mức nguy hiểm cao và 2 lỗ hổng có mức nguy hiểm thấp.
Để tránh gặp rủi ro, các chuyên gia khuyên người dùng nên cập nhật trình duyệt của mình lên phiên bản mới nhất. Hiện tại, trên thị trường có Google Chrome, Opera, Cốc Cốc và Microsoft Edge đang sử dụng nhân Chromium.