พบบั๊กบน Chrome ส่งผลให้แฮกเกอร์ขโมยข้อมูลส่วนตัวผู้ใช้ได้

Gal Weizman ได้พบช่องโหว่ zero day บนเบราว์เซอร์ Chrome ช่องโหว่นี้จะช่วยให้แฮกเกอร์ข้ามผ่านนโยบายด้านความปลอดภัย CSP ทำให้ขโมยข้อมูลของผู้ใช้ได้

Gal ได้พบว่าช่องโหว่นี้มีอยู่ตั้งแต่ Chrome versions 73 (มีนาคม 2019) ไปจนถึง version 83 (กรกฎาคม 2020) โดยหมายเลขช่องโหว่นี้คือ CVE-2020-6519

บั๊กนี้ถูกพบบน Chrome, Opera and Edge, on Windows, Mac และ Android คาดว่าอาจส่งผลกระทบต่อผู้ใช้หลายพันล้านคน

CSP (Content Security Policy) เป็นการป้องกันการโจมตีมาตรฐานของเว็บ ไม่ว่าจะเป็นการโจมตีแบบ cross-site scripting (XSS) หรือ Data Injection โดย CSP จะเพิ่มความสามารถให้เว็บเบราว์เซอร์สามารถตรวจสอบว่าเว็บที่เข้าชมนั้นมีการสอดแทรกข้อมูลหรือสคริปต์ที่เป็นอันตรายมาด้วยหรือไม่ ดังนั้นฝ่ายผู้พัฒนาเว็บจะต้องระบุได้ว่าข้อมูล หรือรูปภาพ หรือสคริปต์ที่ใช้พัฒนานั้นมาจากแหล่งที่น่าเชื่อถือได้ เมื่อ CSP ทำการตรวจเรียบร้อยแล้วว่าปลอดภัย จากนั้นจึงเริ่มทำการโหลดหน้าเว็บนั้นขึ้นมา

ซึ่งเว็บไซต์ส่วนใหญ่ มักจะใช้ CSP ไม่ว่าจะเป็น ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo และ Zoom ซึ่งทำให้เสี่ยงต่อการโดนโจมตีเช่นกัน

ดังนั้น เพื่อเป็นการป้องกัน แนะนำให้อัปเดตเบราว์เซอร์ให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันการโจมตีของแฮกเกอร์

ที่มา: Threat Post