Lỗi trên Windows 10 khiến hệ thống bảo mật của Chrome bị phá vỡ

Một lỗi khá nghiêm trọng vừa xuất hiện trên bản cập nhật Windows 10 mới được phát hành gần đây đã phá vỡ hoàn toàn hệ thống bảo mật của Chrome. James Forshaw nhà nghiên cứu bảo mật của Project Zero thuộc Google tiết lộ, cơ chế bảo mật của Chrome hoàn toàn dựa vào mã của hệ điều hành Windows 10.

Cụ thể, một dòng mã của Windows 10 đã bị viết nhầm chỗ khiến Chrome Sandbox bị lỗi. Sandbox của Chrome là cơ chế bảo mật để ngăn chặn sự lây lan của một sự cố sang phần mềm khác trên Windows. Cơ chế sandbox này có thể được triển khai nhanh chóng mà không đòi hỏi quyền truy cập cấp cao từ hệ điều hành. Tuy nhiên, việc triển khai sandbox lại hoàn toàn phụ thuộc vào cơ chế bảo mật của hệ điều hành Windows trong khi đó việc thay đổi Windows lại không nằm trong tầm kiểm soát của nhóm phát triển Chromium. Vì vậy, sandbox sẽ bị hỏng nếu một lỗi được tìm thấy trong cơ chế bảo mật của Windows.

Theo Forshaw, bản cập nhật mới đây của Microsoft Windows 10 1903 đã vô tình cho phép các cuộc tấn công được thực hiện trong chính trình duyệt Chrome để phá vỡ cơ chế bảo mật và lây nhiễm vào hệ điều hành Windows 10.

Một số lỗ hổng khác trên Windows 10 có thể giúp những cuộc tấn công thoát khỏi cơ chế bảo mật trên Chrome cũng đã được chuyên gia bảo mật này phát hiện. Forshaw cảnh báo, một thay đổi nhỏ trong nhân (kernel) của Windows hoàn toàn có thể tác động nghiêm trọng đến bảo mật của sandbox.

Forshaw đã gửi cảnh báo của mình tới Microsoft, gã khổng lồ công nghệ sau đó đã phát hành một bản vá có tên CVE-2020-0981 để khắc phục.

Tuy nhiên, lỗ hổng mà Forshaw đã đề cập vẫn tồn tại và cơ chế bảo mật của trình duyệt Google Chrome trên Windows 10 vẫn phụ thuộc hoàn toàn vào Microsoft.

• Microsoft phát hành các bản cập nhật vá lỗi khẩn cấp cho Windows 10