Google đã chính thức thông tin về 4 lỗ hổng bảo mật trên Chrome mới được phát hiện, với cấp độ nguy cơ cao, ảnh hưởng trực tiếp đến hơn 3 tỷ người dùng trình duyệt này.
Nghiêm trọng nhất là lỗ hổng có số hiệu CVE-2023-2136, chưa từng được công bố – tức thuộc loại Zero-Day Vulnerabilty, tạo ra nguy cơ rất cao đối với hơn 3 tỷ người dùng trình duyệt này.
Lỗ hổng Zero-Day cực kỳ nguy hiểm vì đặc trưng của loại này là hacker có khả năng tấn công và gây hậu quả trong vòng chưa đến 1 ngày trước khi lỗ hổng được vá.
Tham khảo:
Chi tiết lỗ hổng CVE-2023-2136
Khác với các lỗ hổng Zero-Day thường gặp trên trình biên dịch Javascript Engine V8 (Chrome V8), lỗ hổng CVE-2023-2136 phát sinh từ lỗi lập trình kinh điển – lỗi tràn số nguyên.
Lỗi tràn số nguyên (Integer Overflow) sinh ra khi một phép tính cố gắng tạo ra giá trị nguyên quá lớn (hoặc quá nhỏ), nằm ngoài không gian lưu trữ/ phạm vi biểu diễn của chương trình, khiến cho luồng thực thi (flow) bị rối loạn hoặc kết quả trả về bị lỗi.
Hacker sẽ khai thác lỗi này để tìm cách tấn công vào trình duyệt nhằm đánh cắp dữ liệu của người dùng.
Mức độ nghiêm trọng của lỗ hổng CVE-2023-2136
Vì là Zero-Day Vulnerability nên khả năng hacker khai thác tấn công là chắn chắn 100%, nhất là sau khi Google đã chính thức thông báo công khai trên toàn cầu về lỗ hổng CVE-2023-2136.
Việc công khai lỗ hổng Zero-Day ngay khi phát hiện (và đã cung cấp bản vá) là nguyên tắc đạo đức của mọi nhà phát triển, bởi vì ai cũng biết mức độ nghiêm trọng của nó khi hacker bắt đầu khai thác hàng loạt.
So với nhiều tập đoàn lớn khác thì Google luôn công khai các lỗi Zero-Day sớm hơn, nhờ đó người dùng có thể biết và nâng cấp sớm.
Tuy nhiên, không phải ai cũng đọc tin tức công nghệ, nên trong số 3 tỷ người dùng Google Chrome, sẽ có hàng trăm triệu, thậm chí đến cả tỷ người không biết để update sớm. Do đó, như nhiều sự kiện bảo mật nổi tiếng khác, hệ lụy của CVE-2023-2136 sẽ còn kéo dài nhiều năm.
Hầu hết người dùng chọn lưu trữ thông tin đăng nhập các tài khoản email, mạng xã hội, tài khoản online khác, thẻ thanh toán, thông tin cá nhân,.. trên trình duyệt để tiện sử dụng mà không cần phải ghi nhớ chúng.
Khi lấy được dữ liệu trình duyệt, thì hacker gần như nắm cả gia tài của người dùng.
Do vây, so với các lỗ hổng bảo mật trên phần mềm máy tính, ứng dụng di động hay trên website, thì lỗ hổng bảo mật trên trình duyệt luôn là loại gây hại nặng nề nhất.
CVE-2023-2136 có ảnh hưởng đến MS Edge, Cốc cốc, Opera, Brave không?
Nếu bạn chưa biết, thì Google Chrome phát triển từ nhân Chromium của Google, Chromium là dự án trình duyệt mã nguồn mở được rất nhiều trình duyệt khác lựa chọn như nhân để phát triển trình duyệt riêng, chỉ trừ Firefox, Safari.
Tức là Microsoft Edge, Opera, Cốc cốc, Brave, … đều có chung nhân Chromium với Google Chrome.
Vậy các trình duyệt này có gặp lỗi CVE-2023-2136 không?
Rất may, lỗi CVE-2023-2136 không phát sinh từ Chrome V8 – Javascritp Engine, hay trình biên dịch của nhân Chromium, nên chỉ có duy nhất Google Chrome có lỗ hổng này.
Cần update Google Chrome ngay lập tức
Nếu bạn sử dụng Google Chrome, hãy ngay lập tức tiến hành update ngay lên bản mới nhất.
Để update Google Chrome, bạn hãy mở Menu bên phải, vào mục Help (Trợ giúp), chọn phần About Google Chrome:
Chrome sẽ tự động kiểm tra bản mới và bạn chọn cập nhật:
Cần làm gì tiếp theo?
Hiện nay dữ liệu lưu trên trình duyệt bao gồm rất nhiều thông tin quan trọng, như tài khoản đăng nhập email, các trang giao dịch, thanh toán, thông tin thẻ ngân hàng, …
Để bảo vệ các thông tin này, chúng ta cần trang bị một lớp bảo mật riêng tư, để đảm bảo khi trình duyệt gặp lỗ hổng nghiêm trọng, dữ liệu lưu trên trình duyệt có bị hacker lấy được thì chúng cũng được khóa bởi lớp bảo mật thứ 2 – Two-factor Authentication.
Để trang bị lớp bảo mật thứ 2 cho dữ liệu lưu trình duyệt, ta cần thiết lập tính năng Master Password, để các dự liệu được khóa bởi mật khẩu này, phòng trường hợp bị hack hoặc ai đó truy cập trái phép máy tính, điện thoại của bạn, họ cũng không thể xem các mật khẩu đã lưu vì không biết Master Password.
Bài viết tiếp theo, WPVUI sẽ hướng dẫn chi tiết về cách thiết lập Master Password trên các trình duyệt phổ biến nhất:
Thiết lập Quản lý mật khẩu và bảo vệ dữ liệu trình duyệt khỏi hacker
Chúc vui vẻ!
Nhớ không nhầm thì năm ngoái ông Chôm này cũng dính Zero day nghiêm trọng.
He, Chrome cũng mới công bố loạt lỗ hổng đợt trước, họ thường công khai lỗi sớm hơn các trình duyệt khác.
Chrome giờ vẫn còn tận 3 tỷ users à.
Vẫn thống trị gần 70% lận bạn. Ớn nhất là ông Safari, gấp 4 lần Edge và 7 lần Firefox, Firefox giờ rớt nhanh quá.
Em vừa update, vẫn gắn bó với Chrome thôi.
Lâu nay mình chỉ xài Edge, vô cùng nhẹ