Công nghệ 
Windows 
iPhone 
Android 
Học CNTT 
Download 
Tiện ích 
Khoa học 
Game 
Làng CN 
Ứng dụng 
Trong một bài đăng trên blog Medium, một nhà nghiên cứu bảo mật đã đưa ra báo cáo chi tiết về lỗ hổng XSS nghiêm trọng xuất hiện trong ứng dụng Avast Desktop Antivirus mà anh đã phát hiện ra vào đầu năm nay. Theo giải thích của vị chuyên gia này, kẻ tấn công có thể dễ dàng kích hoạt lỗ hổng với WiFi SSID.
XSS là một trong những lỗ hổng phổ biến trên ứng dụng, đặc biệt là ứng dụng web. Về cơ bản, để khai thác một lỗ hổng XSS, kẻ tấn công sẽ chèn mã độc thông qua các đoạn script để thực thi ở phía máy khách. Những cuộc tấn công dạng này thường được sử dụng để vượt qua các nút kiểm soát truy cập và mạo danh người dùng.
Trở lại với lỗ hổng được tìm thấy trên ứng dụng Avast Desktop Antivirus cho Windows. Kẻ tấn công hoàn toàn có thể một đính kèm một payload độc hại vào định danh SSID. Sau đó, nếu một thiết bị Windows chạy chương trình antivirus của Avast kết nối với mạng WiFi này, một cuộc tấn công XSS sẽ được thực thi.
Việc khai thác lỗ hổng XSS này, về cơ bản, được thực hiện nhờ vào một tính năng tích hợp trong chính ứng dụng Avast Desktop Antivirus cho Windows. Theo mặc định, ứng dụng sẽ hiển thị thông báo bất cứ khi nào thiết bị cố gắng kết nối với mạng WiFi mà không thông qua bất kỳ biện pháp rà soát nào. Do vậy tin tặc hoàn toàn có thể đính một payload độc hại vào tên SSID, sau đó thực thi mã độc đi kèm.
Sau khi thực thi tập lệnh, một thông báo sẽ được hiển thị với nội dung là lời nhắc đăng nhập giả mạo do kẻ tấn công tạo ra. Bởi vì người dùng sẽ không thể nhìn thấy URL giả mạo, nhiều người sẽ nhập thông tin đăng nhập mà không hề hay biết mình đã bị lừa.
Toàn bộ quá trình khai thác lỗ hổng được mô tả trong video dưới đây:
Sau khi thông tin về lỗ hổng được đăng tải, các chuyên gia Avast ngay lập tực tiến hành thẩm định và xác nhận đây là một lỗ hổng nghiêm trọng, đồng thời đưa ra mức thưởng 5000 đô la cho bất cứ nhà nghiên cứu nào đưa ra được bản vá tối ưu nhất.
Lỗ hổng không chỉ ảnh hưởng đến Avast mà cả AVG, và đang được theo dõi với mã định danh CVE-2019-18653 cho Avast và CVE-2019-18654 cho AVG.
Tấn công mạng 
Linux 
Nền tảng Web 
Đồng hồ thông minh 
Chụp ảnh - Quay phim 
macOS 
Phần cứng 
Thủ thuật SEO 
Kiến thức cơ bản 
Raspberry Pi 
Dịch vụ ngân hàng 
Lập trình 
Dịch vụ nhà mạng 
Dịch vụ công trực tuyến 
Nhà thông minh 
Quiz công nghệ 
Microsoft Word 2016 
Microsoft Word 2013 
Microsoft Word 2007 
Microsoft Excel 2019 
Microsoft Excel 2016 
Microsoft PowerPoint 2019 
Microsoft PowerPoint 2016 
Google Sheets - Trang tính 
Code mẫu 
Photoshop CS6 
Photoshop CS5 
Lập trình Scratch 
HTML 
Học Python 
CSS và CSS3 
Lập trình C 
Lập trình C++ 
Lập trình C# 
Học HTTP 
Bootstrap 
SQL Server 
JavaScript 
Học PHP 
jQuery 
Học MongoDB 
Unix/Linux 
Học Git 
NodeJS 
Ứng dụng văn phòng 
Tải game 
Tiện ích hệ thống 
Ảnh, đồ họa 
Internet 
Bảo mật, Antivirus 
Họp, học trực tuyến 
Video, phim, nhạc 
Giao tiếp, liên lạc, hẹn hò 
Hỗ trợ học tập 
Máy ảo 
Khoa học vui 
Khám phá khoa học 
Bí ẩn - Chuyện lạ 
Chăm sóc Sức khỏe 
Khoa học Vũ trụ 
Khám phá thiên nhiên 
Phát minh Khoa học 
Điện máy 
Tủ lạnh 
Tivi 
Điều hòa 
Máy giặt 
Quạt các loại 
Cuộc sống 
Kỹ năng 
Món ngon mỗi ngày 
Làm đẹp 
Nuôi dạy con 
Chăm sóc Nhà cửa 
Du lịch 
Halloween 
Mẹo vặt 
Giáng sinh - Noel 
Tết 2024 
Quà tặng 
Giải trí 
Là gì? 
Nhà đẹp 
TOP 
Video 
Công nghệ 
Video Khoa học 
Ô tô, Xe máy 
Giấy phép lái xe 
Chuyện công nghệ 
Công nghệ mới 
Trí tuệ nhân tạo (AI) 
Anh tài công nghệ 
Bình luận công nghệ 
Tổng hợp