Nếu như hôm qua là extension trên Chrome, thì hôm nay là addon trên Firefox, rất may cả hai lỗi này đều được sửa chữa nhanh chóng.
Chỉ một ngày sau khi lỗi phân tích cú pháp của extension LastPass trên Chrome bị phát hiện, ứng dụng quản lý mật khẩu trên trình duyệt này lại được báo cáo một lỗi an ninh khác nghiêm trọng không kém, đến từ addon của công ty này trên Firefox (với hơn 11 triệu lượt download). Lỗi này được phát hiện ra bởi một nhà nghiên cứu bảo mật khác, anh Tavis Ormandy.
Thành viên của nhóm tìm lỗi bảo mật trong Project Zero thuộc Google, Tavis Ormandy là một người nổi tiếng trong giới nghiên cứu bảo mật. Anh được xem như như Indiana Jones trong việc tìm ra các vấn đề về bảo mật và an ninh tại hàng loạt các công ty, đặc biệt anh có liên quan đến việc phát hiện ra lỗ hổng trong phần mềm diệt virus nổi danh của Kaspersky và Symantec. Cho đến nay, anh vẫn chưa có dấu hiệu cho thấy mình đang chậm lại.
Khi nghiên cứu về LastPass, anh nhận ra phiên bản 4.1.20a trên Windows có một số vấn đề về thiết kế giao diện. Dường như addon trên Firefox này hoạt động bằng cách đặt thêm các yếu tố và các bộ xử lý sự kiện giao diện (event handler) vào bên trong các trang web.
Do vậy, anh đã tìm ra cách đánh lừa addon này bằng chính các handler đó. Anh tạo ra một trang web với các hộp đã được chỉnh sửa bằng CSS, và một bộ xử lý sự kiện click chuột đã được thêm vào để hướng dẫn addon này tạo ra một khung nội tuyến (inline frame – iframe) ưu tiên trong trang web.
Trang web có thể được lập trình để click vào biểu tượng của LastPass với Javascript bằng cách tạo ra một sự kiện click chuột MouseEvent tại tọa độ xác định trên trang web. Thông thường, một trang web không được phép điều hướng đến các nguồn có đường link :// của URL, nhưng trong trường hợp này, trang web chỉ cần yêu cầu addon làm việc này cho nó.
Do khung nội tuyến này giao tiếp với addon LastPass bằng cách gửi đi các tin nhắn đến cửa sổ, và một bộ xử lý sự kiện trên cửa sổ này sẽ xác định xem tin nhắn đó có đáng tin hay không, bằng cách kiểm tra nguồn gốc. Nhưng vì cửa sổ này thuộc về trang web của kẻ tấn công nên việc kiểm tra này không còn nhiều ý nghĩa, các hacker chỉ việc chèn sẵn một bộ xử lý sự kiện của riêng mình lên trước bộ quản lý sự kiện của bạn và chỉnh sửa tin nhắn thành hợp lệ.
Việc làm này sẽ đánh lừa LastPass để xử lý yêu cầu mở đường link URL. Từ URL này, sẽ cho phép kẻ tấn công truy cập vào bất cứ lệnh RPC ưu tiên nào của LastPass (RPC: Remote Procedure Call lời gọi thủ tục từ xa). Bằng cách truy cập vào các lệnh RPC này, kẻ tấn công sẽ thực sự gây ra các tổn hại cho addon LastPass trên Firefox. Kẻ tấn công có thể tạo và xóa file, thực thi các đoạn script, xem file log trong tài khoản LastPass của các nạn nhân, vì vậy chúng có thể đánh cắp bất cứ thứ gì trong đó.
Cho đến hiện tại, sau khi nhận được báo cáo của Tavis Ormandy, LastPass thông báo công ty đã sửa được lỗi này bằng bản cập nhật 4.1.21a (truy cập https://lastpass.com/lastpassffx để tải). Đồng thời công ty cũng khuyến cáo người dùng hạn chế truy cập vào các đường link lạ cũng như sử dụng mật khẩu xác thực hai lớp để bảo vệ tài khoản của mình. Ngoài ra LastPass cũng nhấn mạnh rằng, nếu người dùng nào vẫn dùng bản 3.0 hoặc các trình duyệt khác không phải Firefox, sẽ không bị ảnh hưởng bởi lỗi này.
Như vậy, chỉ trong vòng hai ngày, ứng dụng quản lý mật khẩu trên web nổi tiếng, LastPass đã được những người săn lỗi bảo mật liên tiếp phát hiện ra hai lỗi trên hai trình duyệt phổ biến nhất thế giới là Chrome và Firefox. Rất may các lỗi này sau đó đều được sửa chữa nhanh chóng.
Tham khảo chromium.org
NỔI BẬT TRANG CHỦ
