213
/
178476
Phát hiện lỗ hổng bảo mật ‘chết người’ trên trình duyệt Chrome, nhấp vào là bị xâm nhập
phat-hien-lo-hong-bao-mat-chet-nguoi-tren-trinh-duyet-chrome-nhap-vao-la-bi-xam-nhap
news

Phát hiện lỗ hổng bảo mật ‘chết người’ trên trình duyệt Chrome, nhấp vào là bị xâm nhập

Thứ 5, 03/04/2025 | 06:59:40
2,246 lượt xem

Sau khi nhấp vào liên kết, hệ thống của người dùng ngay lập tức bị xâm nhập, ngay cả khi người đó không thực hiện thêm bất cứ thao tác nào.

Kaspersky phát hiện lỗ hổng bảo mật ‘chết người’ trên trình duyệt Chrome - Ảnh: KASPERSKY

Ngày 2-4, Hãng bảo mật Kaspersky cho biết vừa phát hiện và hỗ trợ vá một lỗ hổng zero-day nghiêm trọng trên trình duyệt Google Chrome. Trước đó, hãng phát hiện một làn sóng lây nhiễm xảy ra khi người dùng nhấp vào các liên kết lừa đảo được cá nhân hóa và gửi qua email.

Kaspersky đặt tên cho chiến dịch này là “Operation ForumTroll”, bởi kẻ tấn công thông qua hình thức gửi email mời nạn nhân tham dự diễn đàn “Primakov Readings” để thực hiện hành vi lừa đảo. Các mục tiêu chính bao gồm cơ quan truyền thông, tổ chức giáo dục và cơ quan chính phủ tại Nga.

Tinh vi hơn, các liên kết độc hại chỉ tồn tại trong thời gian ngắn nhằm tránh bị phát hiện. Và trong đa số trường hợp, các liên kết sẽ chuyển hướng đến trang web hợp pháp của Primakov Readings nhằm che giấu dấu vết sau khi hoàn tất quá trình lừa đảo.

Lỗ hổng zero-day trong Chrome chỉ là một mắt xích trong chuỗi tấn công, trong đó kẻ tấn công sử dụng ít nhất hai công cụ khai thác. Một trong số đó là lỗ hổng thực thi mã từ xa (Remote Code Execution - RCE), được cho là bước mở đầu cho cuộc tấn công. Tuy nhiên hiện các chuyên gia vẫn chưa thu thập được đầy đủ thông tin về lỗ hổng này.

Bước thứ hai trong chuỗi tấn công là thông qua lỗ hổng vượt qua sandbox của Chrome, cũng chính là lỗ hổng mà Kaspersky đã phát hiện. Phân tích của Kaspersky cho thấy chiến dịch này chủ yếu phục vụ mục đích gián điệp. Các bằng chứng thu thập được đều cho thấy chiến dịch có liên quan đến một nhóm tin tặc APT (tấn công có chủ đích).

Ông Boris Larin, trưởng nhóm các nhà nghiên cứu bảo mật tại GReAT của Kaspersky, nhận xét: “Lỗ hổng này đặc biệt nguy hiểm hơn so với hàng chục lỗ hổng zero-day mà chúng tôi từng phát hiện trong nhiều năm qua”.

Theo chuyên gia này, kẻ tấn công khai thác lỗ hổng này để vượt qua cơ chế bảo vệ sandbox của Chrome mà không cần thực hiện bất kỳ hành vi rõ ràng nào, như thể hệ thống bảo mật của trình duyệt gần như không tồn tại.

“Nhìn vào mức độ tinh vi đó, có thể thấy phương thức tấn công này được phát triển bởi những nhóm tội phạm mạng có trình độ cao và nguồn lực lớn. Chúng tôi khuyến cáo tất cả người dùng nên cập nhật Google Chrome và các trình duyệt sử dụng nền tảng Chromium lên phiên bản mới nhất để tránh nguy cơ bị tấn công”, ông Boris Larin khuyến cáo.

Kaspersky cho biết phía Google đã ghi nhận phát hiện lỗ hổng bảo mật của họ và đã có bản vá kịp thời. Người dùng cần cập nhật trình duyệt Google Chrome để tránh trường hợp tội phạm mạng tấn công thông qua các lỗ hổng bảo mật mới.

Theo Đức Thiện/ Tuổi trẻ

https://tuoitre.vn/phat-hien-lo-hong-bao-mat-chet-nguoi-tren-trinh-duyet-chrome-nhap-vao-la-bi-xam-nhap-20250402155243436.htm

  • Từ khóa

Trung Quốc khoe siêu máy tính não nhân tạo lớn nhất thế giới

Đại học Chiết Giang (Trung Quốc) vừa công bố thành công trong việc phát triển siêu máy tính mô phỏng não nhân tạo lớn nhất thế giới mang tên Darwin...
15:20 - 05/08/2025
331 lượt xem

Hệ thống kiểm chứng tin giả mới của Meta có hiệu quả?

Meta thay thế các tổ chức kiểm chứng chuyên nghiệp bằng mô hình cộng đồng “Community Notes” nhưng sau bốn tháng, hệ thống này bộc lộ nhiều bất cập, làm...
14:06 - 05/08/2025
349 lượt xem

Cân nhắc khi mua dòng sản phẩm có cổng Lightning của Apple

Các chuyên gia cho rằng, năm nay có thể là thời điểm cuối cùng mà người dùng đầu tư vào các sản phẩm sử dụng cổng Lightning của Apple, bao gồm cả phụ...
08:42 - 05/08/2025
512 lượt xem

Chiêu lừa đảo mới nhắm vào người dùng Gmail

Cảnh báo người dùng Gmail nếu nhận được cuộc gọi này tự xưng từ Google, hãy dập máy ngay lập tức.
06:55 - 05/08/2025
544 lượt xem

Skin AI: Xu hướng phân tích da bằng trí tuệ nhân tạo

Từ một tấm ảnh selfie, trí tuệ nhân tạo giờ đây có thể phân tích làn da và đưa ra gợi ý chăm sóc riêng cho từng người. Skin AI đang mở ra xu hướng chăm da...
09:28 - 04/08/2025
1,069 lượt xem