Người dùng Chrome, Safari và Firefox cần phải hết sức cảnh giác do một lỗ hổng bảo mật vừa được phát hiện.
Được phát hiện bởi Oligo, một công ty an ninh mạng đến từ Israel, lỗ hổng này được cho là có thể cho phép tin tặc truy cập vào mạng lưới an ninh doanh nghiệp và gia đình. Kẻ tấn công có thể khai thác điểm yếu này bằng cách gửi các yêu cầu có hại đến một địa chỉ IP cụ thể (0.0.0.0) để xâm nhập vào mạng nội bộ.
Lỗ hổng bảo mật trong Safari và Chrome tồn tại suốt 18 năm. Ảnh Internet |
Vấn đề này, được gọi là kiểu khai thác 0.0.0.0-day, ảnh hưởng đến Chrome, Firefox và Safari, nhưng chỉ trên máy tính macOS và Linux, có nghĩa máy tính Windows không gặp rủi ro. Mặc dù các công ty trình duyệt đã nắm bắt được vấn đề và đang nỗ lực khắc phục nhưng người dùng macOS và Linux vẫn dễ bị tấn công cho đến thời điểm hiện tại.
Các thiết bị được kết nối với internet sử dụng địa chỉ IP để nhận dạng thiết bị và vị trí, và địa chỉ IP 0.0.0.0 được sử dụng cho các trường hợp đặc biệt (thường được sử dụng làm địa chỉ thay thế cho đến khi có địa chỉ thực tế). Nhà nghiên cứu Oglio phát hiện ra rằng hacker đã khai thác cách Safari, Chrome và Firefox xử lý các truy vấn đến địa chỉ IP 0.0.0.0. Theo Forbes, các trình duyệt gửi các truy vấn "đến các địa chỉ IP khác, bao gồm “localhost”, một máy chủ trên mạng hoặc máy tính thường là riêng tư và thường được sử dụng để kiểm tra mã đang phát triển". Hacker có thể gửi yêu cầu đến địa chỉ để lấy dữ liệu riêng tư.
Forbes đã xác nhận với Apple rằng, Safari trong macOS Sequoia sẽ chặn bất kỳ trang web nào cố gắng liên hệ với địa chỉ IP 0.0.0.0. Google có một bài đăng trên blog mô tả kế hoạch thực hiện điều tương tự với Chrome. Mozilla nói với Forbes rằng họ không có kế hoạch chặn các truy vấn 0.0.0.0 trong Mozilla, nhưng công ty đang nghiên cứu vấn đề này.
Vì bản sửa lỗi này dựa trên trình duyệt web Safari chứ không phải hệ điều hành nên nó sẽ được tung ra khi Safari 18 khi có sẵn cho các phiên bản macOS cũ hơn, chẳng hạn như Sonoma và Ventura. Trong khi đó, Google vẫn chưa đưa ra tuyên bố chính thức nhưng có vẻ như hãng đã nắm được thông tin về lỗ hổng này và đang cân nhắc nhiều giải pháp khác nhau.