Cảnh báo trình duyệt web Safari có thể cho phép hacker giả mạo URL

www.tuoitre.vn -   18/09/2018 10:00:00 3787

Một chuyên gia bảo mật đã phát hiện ra một lỗ hổng nghiêm trong trên trình duyệt web Microsoft Edge của Windows và Apple Safari của iOS cho phép hacker tấn công giả mạo URL để lừa đảo nạn nhân.

Cảnh báo trình duyệt web Safari có thể cho phép hacker giả mạo URL

Trong khi Microsoft đã vá lỗ hổng này vào tháng trước trong một bản cập nhật bảo mật định kỳ hàng tháng, thì Safari vẫn chưa được vá lỗi, dẫn đến nguy cơ người dùng Apple dễ bị tổn thương bởi các hình thức tấn công giả mạo URL.

Các cuộc tấn công với hình thức giả mạo để lừa đảo người dùng đang ngày càng phát triển với cấp số nhân và mức độ tinh vi ngày càng nâng cao, rất khó phân biệt và cực kỳ nguy hiểm. Lỗ hổng mới này có thể góp phần cho các cuộc tấn công này thêm phần nguy hiểm bởi có thể bỏ qua các hàng rào cơ bản như URL và SSL là một trong những điều đầu tiên mà người dùng sử dụng để kiểm tra xem liệu đây có phải là một trang web giả mạo hay không.

 Lỗ hỗng này được phát hiện bởi một nhà nghiên cứu bảo mật Pakistan tên Rafay Baloch, lỗ hổng CVE-2018-8383 dựa trên một vấn đề đánh máy có điều kiện gây ra bởi trình duyệt web, cho phép JavaScript cập nhật địa chỉ trang web trên thanh địa chỉ URL khi trang được mở.

Khai thác thành công lỗ hổng này sẽ cho phép kẻ tấn công chủ động mở một trang web hợp pháp, điều này sẽ làm cho địa chỉ trang được hiển thị trên thanh URL và nhanh chóng thay thế mã trong trang web bằng một mã độc.

Khi URL hiển thị trên thanh địa chỉ không thay đổi, cuộc tấn công giả mạo này rất khó bị phát hiện ngay cả khi người dùng có am hiểu về bảo mật nhiều đi chăng nữa.

Sử dụng lổ hổng này, kẻ tấn công có thể giả mạo bất kì trang web nào bao gồm Gmail, Facebook, Twitter, thậm chí là các trang web ngân hàng và tạo các trang đăng nhập giả mạo hay các form điền thông tin khác để đánh cắp thông tin cá nhân cũng như nhiều thông tin quan trọng khác của nạn nhân.

Baloch còn tạo một trang web minh chứng cho lỗ hỗng này và cho thấy cả trình duyệt Microsoft Edge và Apple Safari đều “cho phép Javascript cập nhật thanh địa chỉ khi trang web đang mở”

 

Theo Baloch thì cả Google Chrome và Mozilla Firefox thì không hề bị ảnh hưởng bởi lỗ hổng này.

Trong khi Microsoft đã nhanh chóng vá lỗi này vào tháng trước thì Baloch vẫn chưa nhận được phản hồi gì từ Apple từ khi anh báo cáo lỗi này từ tháng Sáu.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 66
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 64
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 62
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 65
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 41
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 30
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ