Cảnh báo trình duyệt web Safari có thể cho phép hacker giả mạo URL

www.tuoitre.vn -   18/09/2018 10:00:00 3188

Một chuyên gia bảo mật đã phát hiện ra một lỗ hổng nghiêm trong trên trình duyệt web Microsoft Edge của Windows và Apple Safari của iOS cho phép hacker tấn công giả mạo URL để lừa đảo nạn nhân.

Cảnh báo trình duyệt web Safari có thể cho phép hacker giả mạo URL

Trong khi Microsoft đã vá lỗ hổng này vào tháng trước trong một bản cập nhật bảo mật định kỳ hàng tháng, thì Safari vẫn chưa được vá lỗi, dẫn đến nguy cơ người dùng Apple dễ bị tổn thương bởi các hình thức tấn công giả mạo URL.

Các cuộc tấn công với hình thức giả mạo để lừa đảo người dùng đang ngày càng phát triển với cấp số nhân và mức độ tinh vi ngày càng nâng cao, rất khó phân biệt và cực kỳ nguy hiểm. Lỗ hổng mới này có thể góp phần cho các cuộc tấn công này thêm phần nguy hiểm bởi có thể bỏ qua các hàng rào cơ bản như URL và SSL là một trong những điều đầu tiên mà người dùng sử dụng để kiểm tra xem liệu đây có phải là một trang web giả mạo hay không.

 Lỗ hỗng này được phát hiện bởi một nhà nghiên cứu bảo mật Pakistan tên Rafay Baloch, lỗ hổng CVE-2018-8383 dựa trên một vấn đề đánh máy có điều kiện gây ra bởi trình duyệt web, cho phép JavaScript cập nhật địa chỉ trang web trên thanh địa chỉ URL khi trang được mở.

Khai thác thành công lỗ hổng này sẽ cho phép kẻ tấn công chủ động mở một trang web hợp pháp, điều này sẽ làm cho địa chỉ trang được hiển thị trên thanh URL và nhanh chóng thay thế mã trong trang web bằng một mã độc.

Khi URL hiển thị trên thanh địa chỉ không thay đổi, cuộc tấn công giả mạo này rất khó bị phát hiện ngay cả khi người dùng có am hiểu về bảo mật nhiều đi chăng nữa.

Sử dụng lổ hổng này, kẻ tấn công có thể giả mạo bất kì trang web nào bao gồm Gmail, Facebook, Twitter, thậm chí là các trang web ngân hàng và tạo các trang đăng nhập giả mạo hay các form điền thông tin khác để đánh cắp thông tin cá nhân cũng như nhiều thông tin quan trọng khác của nạn nhân.

Baloch còn tạo một trang web minh chứng cho lỗ hỗng này và cho thấy cả trình duyệt Microsoft Edge và Apple Safari đều “cho phép Javascript cập nhật thanh địa chỉ khi trang web đang mở”

 

Theo Baloch thì cả Google Chrome và Mozilla Firefox thì không hề bị ảnh hưởng bởi lỗ hổng này.

Trong khi Microsoft đã nhanh chóng vá lỗi này vào tháng trước thì Baloch vẫn chưa nhận được phản hồi gì từ Apple từ khi anh báo cáo lỗi này từ tháng Sáu.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Microsoft kêu gọi khách hàng bảo mật máy...

31/01/2023 08:00:00 21
Microsoft đang kêu gọi khách hàng cập nhật máy chủ Exchange của họ cũng như thực hiện các bước để củ...

Hơn 134 triệu lượt tấn công các thiết bị...

30/01/2023 08:00:00 27
Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổ...

Apple phát hành các bản cập nhật cho các...

26/01/2023 08:00:00 23
Apple đã đưa ra các bản sửa lỗi cho một lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây ảnh hưởng ...

Facebook giới thiệu các tính năng mới ch...

25/01/2023 08:00:00 22
Nền tảng Meta vào thứ Hai đã thông báo rằng họ đã bắt đầu mở rộng thử nghiệm toàn cầu về mã hóa đầu ...

Mã độc Emotet trở lại và lợi hại hơn xưa

24/01/2023 08:00:00 23
Mã độc Emotet đã được tiếp tục tinh chỉnh chiến thuật và trở nên lợi hại hơn khi vượt qua tầm kiểm s...

Cửa hàng ứng dụng Samsung Galaxy Store b...

23/01/2023 08:00:00 27
Hai lỗ hổng bảo mật đã được tiết lộ trong ứng dụng Galaxy Store của Samsung dành cho Android có thể ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ