Google sửa lỗi bảo mật nguy hiểm trong Chrome

MOD

Lỗi bảo mật nguy hiểm có thể bị tin tặc lợi dụng để lừa người dùng “tự nguyện” tải về và vận hành mã độc đã được phát hiện trong Chrome một tháng trước đây, lỗi này cũng được Google cho bít lại bằng một bản sửa lỗi vừa được phát hành.

Song lỗi bảo mật này chỉ nguy hiểm khi được kết hợp với một lỗi bảo mật khác được biết đến bằng cái tên “lỗi bom trải thảm” (carpet bomb) trong trình duyệt Apple Safari. Đồng nghĩa với việc nếu PC không cài song song Chrome và Safari thì nguy cơ bị tấn công sẽ không cao.

Mark Larson – Giám đốc phụ trách Chrome – cho biết bản sửa lỗi sẽ thay đổi cách thức trình duyệt xử lý các tệp tin có thể thực thi – tệp tin mang đuôi “.exe” hay “.bat” trên nền tảng hệ điều hành Windows. Theo đó, Chrome sẽ tự động đổi tên những tệp tin này thành dạng “unconfirmed_*.download' files”.

“Chỉ khi nào người dùng chấp nhận tải tệp tin đó về thì trình duyệt mới trả lại tên chính thức cho tệp tin. Tất cả những tệp tin chưa được xác nhận sẽ được xóa bỏ hoàn toàn khi người dùng đóng trình duyệt”.

Chuyên gia nghiên cứu bảo mật Aviv Raff – người đã phát hiện và trình diễn đầy đủ phương thức khai thác lỗi Chrome – tuyên bố bản sửa lỗi lần này của Google vẫn chưa đủ để bảo vệ người dùng trước mọi nguy cơ bị tấn công.

“Trục trặc nằm ở chỗ Chrome vẫn tự động tải tệp tin về PC. Tệp tin sẽ bị xóa nếu người dùng đóng trình duyệt lại. Nhưng nếu Chrome bị treo cứng không thể đóng theo cách thông thường thì có nghĩa rằng tệp tin vẫn còn ở đó. Và có nghĩa rằng tệp tin độc hại vẫn còn tồn tại trên PC”.

Theo chuyên gia Raff, giải pháp tốt nhất là Google nên chặn không có Chrome được tự động tải tệp tin về. “Tôi cho rằng việc tự động tải tệp tin về mà không hỏi ý kiến người dùng và lưu nó vào một vị trí mà người dùng không biết không phải là một giải pháp tốt. Nếu đó là tệp tin có thể thực thi thì vẫn có khả năng kích hoạt chúng thông qua của sổ điều khiển dòng lệnh của Windows (Command Line)”.

Thêm vào đó hiện bản sửa lỗi Chrome vẫn chưa được phát hành rộng rãi tới tay người dùng mà mới chỉ dành cho phiên bản Chrome dành cho nhà phát triển. Người dùng vẫn còn phải chờ đợi đến khi bản sửa lỗi được phát hành qua tính năng tự động cập nhật của Chrome.