Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng trên Internet Explorer và Edge phiên bản mới nhất bị tiết lộ công khai
Một nhà nghiên cứu an ninh mạng vừa công khai chi tiết và mã khai thác PoC của 2 lỗ hổng chưa được vá trên các trình duyệt web của Microsoft, sau khi thông báo của ông tới hãng không được hồi đáp.
Cả 2 lỗ hổng chưa được vá, trong đó 1 lỗ hổng ảnh hưởng đến phiên bản mới nhất của Microsoft Internet Explorer. Lỗ hổng còn lại ảnh hưởng đến trình duyệt Edge phiên bản mới nhất, cho phép hacker từ xa qua mặt chính sách cùng nguồn (Same Origin Policy - SOP) trên trình duyệt web của nạn nhân.
SOP là một tính năng an ninh được triển khai trên các trình duyệt hiện đại, giới hạn một trang web hoặc một script tải từ một nguồn không tương tác với tài nguyên từ nguồn khác, ngăn các trang web không liên quan can thiệp lẫn nhau.
Nói cách khác, nếu bạn truy cập một website trên trình duyệt web, sẽ chỉ có thể yêu cầu dữ liệu từ cùng nguồn [tên miền] mà trang web được tải, tránh các trường hợp yêu cầu trái phép nhằm lấy cắp dữ liệu của bạn, từ các trang web khác.
Tuy nhiên, các lỗ hổng mà nhà nghiên cứu James Lee (20 tuổi) phát hiện có thể cho phép một trang web độc hại thực hiện các cuộc tấn công kịch bản chéo trang (UXSS) nhắm vào bất kỳ tên miền nào truy cập bằng trình duyệt web của Microsoft.
Để khai thác thành công các lỗ hổng này, tất cả những gì kẻ tấn công cần làm là thuyết phục nạn nhân mở trang web độc hại (do hacker tạo ra). Từ đó hacker có thể đánh cắp dữ liệu nhạy cảm của nạn nhân, như phiên đăng nhập và cookie, từ các trang web khác được truy cập trên cùng một trình duyệt.
“Vấn đề nằm ở các entry thời gian tài nguyên (Resource Timing) trên trình duyệt của Microsoft đã rò rỉ các URL có nguồn chéo sau khi chuyển hướng”, Lee cho biết.
Nhà nghiên cứu đã liên hệ với Microsoft và thông báo về phát hiện của mình từ 10 tháng trước, nhưng không hề nhận được phản hồi nào từ gã khổng lồ công nghệ để khắc phục 2 lỗ hổng.
Lee vừa công bố mã khai thác PoCs của cả 2 lỗ hổng.
The Hacker News đã kiểm tra độc lập và xác nhận sự tồn tại của cả 2 lỗ hổng trên Internet Explorer và Edge phiên bản mới nhất chạy trên hệ điều hành Windows 10 cập nhật bản vá đầy đủ.
Các lỗ hổng mới được tiết lộ tương tự như các lỗ hổng mà Microsoft từng vá năm ngoái trên trình duyệt Internet Explorer (CVE-2018-8351) và Edge (CVE-2018-8545).
Bởi chi tiết và PoC các lỗ hổng đã được tiết lộ công khai, kẻ xấu sẽ không mất nhiều thời gian để khai thác lỗ hổng và nhắm vào người dùng Microsoft.
Cho đến khi Microsoft đưa ra bản vá, người dùng không thể làm gì nhiều để khắc phục vấn đề, ngoài việc dùng các trình duyệt khác như Chrome hoặc Firefox.
Cả 2 lỗ hổng chưa được vá, trong đó 1 lỗ hổng ảnh hưởng đến phiên bản mới nhất của Microsoft Internet Explorer. Lỗ hổng còn lại ảnh hưởng đến trình duyệt Edge phiên bản mới nhất, cho phép hacker từ xa qua mặt chính sách cùng nguồn (Same Origin Policy - SOP) trên trình duyệt web của nạn nhân.
SOP là một tính năng an ninh được triển khai trên các trình duyệt hiện đại, giới hạn một trang web hoặc một script tải từ một nguồn không tương tác với tài nguyên từ nguồn khác, ngăn các trang web không liên quan can thiệp lẫn nhau.
Nói cách khác, nếu bạn truy cập một website trên trình duyệt web, sẽ chỉ có thể yêu cầu dữ liệu từ cùng nguồn [tên miền] mà trang web được tải, tránh các trường hợp yêu cầu trái phép nhằm lấy cắp dữ liệu của bạn, từ các trang web khác.
Tuy nhiên, các lỗ hổng mà nhà nghiên cứu James Lee (20 tuổi) phát hiện có thể cho phép một trang web độc hại thực hiện các cuộc tấn công kịch bản chéo trang (UXSS) nhắm vào bất kỳ tên miền nào truy cập bằng trình duyệt web của Microsoft.
Để khai thác thành công các lỗ hổng này, tất cả những gì kẻ tấn công cần làm là thuyết phục nạn nhân mở trang web độc hại (do hacker tạo ra). Từ đó hacker có thể đánh cắp dữ liệu nhạy cảm của nạn nhân, như phiên đăng nhập và cookie, từ các trang web khác được truy cập trên cùng một trình duyệt.
“Vấn đề nằm ở các entry thời gian tài nguyên (Resource Timing) trên trình duyệt của Microsoft đã rò rỉ các URL có nguồn chéo sau khi chuyển hướng”, Lee cho biết.
Nhà nghiên cứu đã liên hệ với Microsoft và thông báo về phát hiện của mình từ 10 tháng trước, nhưng không hề nhận được phản hồi nào từ gã khổng lồ công nghệ để khắc phục 2 lỗ hổng.
Lee vừa công bố mã khai thác PoCs của cả 2 lỗ hổng.
The Hacker News đã kiểm tra độc lập và xác nhận sự tồn tại của cả 2 lỗ hổng trên Internet Explorer và Edge phiên bản mới nhất chạy trên hệ điều hành Windows 10 cập nhật bản vá đầy đủ.
Các lỗ hổng mới được tiết lộ tương tự như các lỗ hổng mà Microsoft từng vá năm ngoái trên trình duyệt Internet Explorer (CVE-2018-8351) và Edge (CVE-2018-8545).
Bởi chi tiết và PoC các lỗ hổng đã được tiết lộ công khai, kẻ xấu sẽ không mất nhiều thời gian để khai thác lỗ hổng và nhắm vào người dùng Microsoft.
Cho đến khi Microsoft đưa ra bản vá, người dùng không thể làm gì nhiều để khắc phục vấn đề, ngoài việc dùng các trình duyệt khác như Chrome hoặc Firefox.
Theo The Hacker News