Một lỗ hổng có tên Wavethrough cho phép tin tặc tiếp cận mọi dữ liệu trên máy nạn nhân vừa được công bố hôm nay. Nó ảnh hưởng tới mọi trình duyệt web và thuộc loại Nghiêm trọng (Severe).
Theo tác giả Jake Archibald, cơ chế của Wavethrough nằm trong cách thức trình duyệt thực hiện các truy vấn chéo domain (cross-origin requests) đối với các tập tin âm thanh và hình ảnh. Một khi bị khai thác, lỗ hổng này cho phép tin tặc đọc được cả những dữ liệu nhạy cảm như email hoặc tin nhắn Facebook.
Các trình duyệt đời mới không cho phép các trang web tự thực hiện thao tác truy vấn chéo nêu trên. Tuy nhiên cơ chế này hiện lại không áp dụng đối với các tập tin đa phương tiện.
Ngoài ra các trình duyệt cũng hỗ trợ nhiều kiểu khai báo đầu tập tin (file header) khác nhau cũng như tính năng chia nhỏ để tải về trong trường hợp nội dung quá lớn. Đây là sơ hở mà tin tặc khai thác nhằm ủy nhiệm truy vấn cho trình duyệt thực hiện, biến nó thành một thao tác “đáng tin cậy”.
Archibald đã công bố video và một bản trình diễn Wavethrough. Theo anh, vấn đề là ở chỗ các trình duyệt hiện tại thực hiện quy trình khá rời rạc và cần thiết phải có một chuẩn chung để tránh những kiểu tấn công tương tự trong tương lai.
Chrome và Safari vốn đã có quy tắc nghiêm ngặt về truy vấn chéo nên không bị ảnh hưởng, còn Firefox và Edge cũng đã thực hiện bản vá sau khi nhận được cảnh báo.
Vì vậy lời khuyên là dù bạn đang sử dụng trình duyệt nào cũng nên nâng cấp lên phiên bản mới nhất để bảo đảm an toàn.
Theo The Hacker News
