Cảnh báo trình duyệt web Safari có thể cho phép hacker giả mạo URL

www.tuoitre.vn -   18/09/2018 10:00:00 3939

Một chuyên gia bảo mật đã phát hiện ra một lỗ hổng nghiêm trong trên trình duyệt web Microsoft Edge của Windows và Apple Safari của iOS cho phép hacker tấn công giả mạo URL để lừa đảo nạn nhân.

Cảnh báo trình duyệt web Safari có thể cho phép hacker giả mạo URL

Trong khi Microsoft đã vá lỗ hổng này vào tháng trước trong một bản cập nhật bảo mật định kỳ hàng tháng, thì Safari vẫn chưa được vá lỗi, dẫn đến nguy cơ người dùng Apple dễ bị tổn thương bởi các hình thức tấn công giả mạo URL.

Các cuộc tấn công với hình thức giả mạo để lừa đảo người dùng đang ngày càng phát triển với cấp số nhân và mức độ tinh vi ngày càng nâng cao, rất khó phân biệt và cực kỳ nguy hiểm. Lỗ hổng mới này có thể góp phần cho các cuộc tấn công này thêm phần nguy hiểm bởi có thể bỏ qua các hàng rào cơ bản như URL và SSL là một trong những điều đầu tiên mà người dùng sử dụng để kiểm tra xem liệu đây có phải là một trang web giả mạo hay không.

 Lỗ hỗng này được phát hiện bởi một nhà nghiên cứu bảo mật Pakistan tên Rafay Baloch, lỗ hổng CVE-2018-8383 dựa trên một vấn đề đánh máy có điều kiện gây ra bởi trình duyệt web, cho phép JavaScript cập nhật địa chỉ trang web trên thanh địa chỉ URL khi trang được mở.

Khai thác thành công lỗ hổng này sẽ cho phép kẻ tấn công chủ động mở một trang web hợp pháp, điều này sẽ làm cho địa chỉ trang được hiển thị trên thanh URL và nhanh chóng thay thế mã trong trang web bằng một mã độc.

Khi URL hiển thị trên thanh địa chỉ không thay đổi, cuộc tấn công giả mạo này rất khó bị phát hiện ngay cả khi người dùng có am hiểu về bảo mật nhiều đi chăng nữa.

Sử dụng lổ hổng này, kẻ tấn công có thể giả mạo bất kì trang web nào bao gồm Gmail, Facebook, Twitter, thậm chí là các trang web ngân hàng và tạo các trang đăng nhập giả mạo hay các form điền thông tin khác để đánh cắp thông tin cá nhân cũng như nhiều thông tin quan trọng khác của nạn nhân.

Baloch còn tạo một trang web minh chứng cho lỗ hỗng này và cho thấy cả trình duyệt Microsoft Edge và Apple Safari đều “cho phép Javascript cập nhật thanh địa chỉ khi trang web đang mở”

 

Theo Baloch thì cả Google Chrome và Mozilla Firefox thì không hề bị ảnh hưởng bởi lỗ hổng này.

Trong khi Microsoft đã nhanh chóng vá lỗi này vào tháng trước thì Baloch vẫn chưa nhận được phản hồi gì từ Apple từ khi anh báo cáo lỗi này từ tháng Sáu.

Minh Hương

TIN CÙNG CHUYÊN MỤC

1 tiện ích Chrome nhiễm mã độc có 280 tr...

04/02/2025 12:00:00 78
SNE tồn tại lâu nhất lên tới 8,5 năm, được gọi là TeleApp, được cập nhật lần cuối vào ngày 13 tháng ...

Không đảm bảo về bảo mật và kiểm duyệt, ...

04/02/2025 12:00:00 96
DeepSeek đi kèm với nhiều phiền toái và cách kiểm duyệt phản hồi cũng rất khắt khe. Vậy tại sao mọi ...

Ứng dụng AI - DeepSeek bị hack và rò rỉ ...

03/02/2025 12:00:00 82
Không chỉ ghi lại địa chỉ email, IP, lịch sử trò chuyện, DeepSeek còn thu thập những thông tin đáng ...

Router Wi-Fi hiệu TP-Link có thể bị Mỹ c...

03/02/2025 12:00:00 60
Chính phủ nghi ngờ các router TP-Link đang bị Trung Quốc khai thác trong những cuộc tấn công mạng và...

Tính năng tìm kiếm mới trên Windows 11 g...

03/02/2025 12:00:00 41
Microsoft đang tích hợp chức năng tìm kiếm của Google Photos vào OneDrive Photos Windows 11.

Lừa đảo quảng cáo độc hại sử dụng Quảng ...

30/01/2025 08:00:00 43
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại nhắm vào các nhà qu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button