Lỗ hổng Chrome giúp tin tặc nắm mọi thông tin Facebook có được từ người dùng
Cập nhật thường xuyên các phiên bản nâng cấp của trình duyệt luôn là cách hữu hiệu và đơn giản nhất để người dùng tự bảo vệ thông tin của mình.
Lỗ hổng an ninh trên Chrome đã được vá ở phiên bản 68 mới ra mắt
Mới đây, Google đã cập nhật phiên bản trình duyệt Chrome 68 tích hợp tính năng đánh dấu mọi website không sử dụng HTTPS là “Không bảo mật”, động thái này nhằm mang đến môi trường duyệt web an toàn hơn cho người dùng internet.
Trang TheHackerNews dẫn lời nhà nghiên cứu bảo mật Ron Masas của công ty nghiên cứu Imperva cho hay, các trình duyệt web tồn tại một lỗ hổng khiến tin tặc có thể tìm ra mọi thông tin người dùng lưu trữ nên các nền tảng web khác như Facebook hay Google. Hacker chỉ việc sử dụng vài mẹo đơn giản để thu hút người dùng ghé qua website mục tiêu nhằm thực hiện quá trình thu thập thông tin.
Lỗ hổng được đặt tên CVE-2018-6177 lợi dụng điểm yếu của các nhãn HTML âm thanh, video và ảnh hưởng tới mọi trình duyệt được hỗ trợ bởi Blink Engine, trong đó có Google Chrome.
Video đang HOT
Để minh họa các cuộc tấn công, nhóm nghiên cứu dùng Facebook làm ví dụ. Đây là mạng xã hội phổ biến nhất thế giới và thu thập rất nhiều thông tin cá nhân người dùng như tuổi, giới tính, nơi cư trí, thói quen, sở thích…
Các nhà nghiên cứu đã tạo ra rất nhiều bài đăng khác nhau với đa dạng tổ hợp giới hạn người xem nhằm phân loại nạn nhân dựa theo độ tuổi, vị trí, sở thích hay giới tính.
Ví dụ, nếu một bài đăng được xác định chỉ hiển thị cho người dùng Facebook dưới 26 tuổi, giới tính nam, có mối quan tâm về tấn công mạng hay bảo mật thông tin được tải thành công, kẻ tấn công có thể thu được dữ liệu cá nhân về người dùng đã xem bài đăng đó, bất chấp các cài đặt bảo mật cuả họ.
Quản trị viên của những website lưu trữ thông tin không có cách trực tiếp nào để phát hiện ra một bài đăng có được cài thành công tới nhóm đối tượng xem hay không.
Phương pháp này không hiển thị bài đăng Facebook nào được thực hiện có chủ đích nhưng vẫn cho phép kẻ tấn công kiểm soát được website (sử dụng JaveScript) để đo lường quy mô của tài nguyên gốc và số lượng yêu cầu để tìm ra chính xác bài đăng nào đã thành công trong việc thu thập thông tin của Facebook từ từng cá nhân tiếp cận.
Một thành viên trong đội bảo mật của Google cũng chỉ ra rằng lỗ hổng có thể được sử dụng trên các website sử dụng API để thu thập thông tin về lượt truy cập cụ thể của người dùng.
Cốt lõi của lỗ hổng vẫn tương tự như một lỗi trên trình duyệt được phát hiện từ tháng 6 vừa qua, liên quan đến các lệnh yêu cầu tới tập tin video và âm thanh, cho phép kẻ tấn công đọc được nội dung của Gmail hay các tin nhắn riêng tư trên Facebook.
Nhóm nghiên cứu của Imperva đã báo cáo lỗ hổng tới Google cùng bằng chứng và đội bảo mật phụ trách Chrome đã vá thành công trong phiên bản 68 mới ra mắt. Do vậy, người dùng trình duyệt này được khuyến cáo cập nhật trình duyệt để bảo vệ dữ liệu của mình.
Theo : Tri Thức Trẻ
Intel phát hiện lỗ hỏng bảo mật nghiêm trọng có tên "Foreshadow" trong chip mới
Sau Spectre và Meltdown, đây là lần thứ ba Intel dính phải lỗ hỏng bảo mật tồn tại trong phần cứng của bộ vi xử lý với tên gọi "Foreshadow".
Mới đây, giá cổ phiếu của Intel giảm nhẹ sau khi công ty tiết lộ một lỗ hỏng bảo mật nghiêm trọng có trong chip xử lý. Lỗi này có thể giúp tin tặc truy cập vào dữ liệu nhạy cảm trên máy tính cá nhân, hoặc đám mây của bên thứ ba.
Công ty đã đặt tên cho lỗ hỏng bảo mật mới là "L1 Terminal Fault". Các nhà nghiên cứu phát hiện kẻ tấn công lợi dụng lỗ hổng trong phần cứng để truy cập vào bộ nhớ của chip xử lý. Hiện Intel gọi lỗi này là Foreshadow.
Có hai phiên bản Foreshadow. Phiên bản đầu tiên được dùng để trích xuất dữ liệu từ SGX (Software Guard Extensions - Tiện ích Bảo vệ Phầm mềm). Bản tiếp theo gây ảnh hưởng đến các phần mềm hệ thống như máy ảo (Virtural Machine - VMs), ảo hóa (Hypervisors - VMM), bộ nhớ kernel hệ điều hành (OS), phương thức quản lý bộ nhớ hệ thống (System Management Mode - SMM).
Công nghệ SGX tạo ra những phân vùng an toàn nhằm bảo vệ dữ liệu nhạy cảm. Dựa trên từng nhu cầu cụ thể, SGX sở hữu bộ nhớ riêng tách biệt hoàn toàn với các phần mềm hệ thống khác. Đáng chú ý là Tiện ích bảo vệ phần mềm này chỉ được giới thiệu cho bộ xử lý Intel Core thế hệ thứ 6 (Skylake). Và lỗ hổng bảo mật Foreshadow đe dọa tấn công SGX.
Các chuyên gia bảo mật đã phát hiện lỗi chip cách đây một tháng. Điều này giúp cho Intel và công ty điện toán đám mây có thời gian khắc phục trước khi đưa ra thông báo chính thức.
Intel cho biết, họ cố gắng giảm thiểu khả năng tin tặc tấn công lỗ hổng bảo mật Foreshadow. Cho đến hiện tại, vẫn chưa có báo cáo về một vụ tấn công nào.
Bên cạnh đó, Intel cũng đang đối mặt với nguy cơ bị chính AMD vượt mặt trong thời gian tới. Hãng tuyên bố chip Cannon Lake sản xuất theo tiến trình 10nm sẽ không có mặt trước năm 2019. Trong khi đó, đối thủ của Intel tuyên bố đã sẵn sàng tung ra thị trường bộ xử lý sử dụng tiến trình 7nm năm 2019.
Theo : Tri Thức Trẻ
Hãng Trung Quốc thừa nhận dựng trình duyệt trên nền tảng Chrome Startup Trung Quốc bị phát hiện ăn cắp thành phần của trình duyệt Chrome để dùng cho trình duyệt mà họ tuyên bố là "cây nhà lá vườn 100%" vừa thừa nhận xây dựng phần mềm trên trình duyệt nổi tiếng của Google. Theo South China Morning Post, startup Trung Quốc lấy thành phần của Chrome tên là Redcore, mới đây gọi vốn...