Apple cuối cùng đã vá lỗi tồn tại gần 2 thập kỷ trên Safari

Apple cuối cùng đã vá một lỗ hổng nghiêm trọng trong trình duyệt Safari, tồn tại suốt 18 năm, cho phép tin tặc xâm nhập và đánh cắp dữ liệu.

Một lỗ hổng bảo mật nghiêm trọng đã tồn tại trong các trình duyệt web phổ biến như Safari, Chrome và Firefox suốt 18 năm qua. Lỗ hổng này cho phép tin tặc xâm nhập vào mạng riêng của cá nhân và doanh nghiệp, từ đó truy cập vào dữ liệu vốn được bảo mật.

Theo báo cáo của Forbes, các nhà nghiên cứu từ Oligo - một startup an ninh mạng của Israel - đã phát hiện cách thức tin tặc khai thác lỗ hổng này và cách Apple đang tiến hành khắc phục. Vấn đề nằm ở cách các trình duyệt xử lý truy vấn đến địa chỉ IP 0.0.0.0. Thay vì từ chối, các trình duyệt lại chuyển hướng các truy vấn này đến các địa chỉ IP khác, bao gồm cả máy chủ "localhost" thường dùng để thử nghiệm mã. Tin tặc lợi dụng điều này để gửi các yêu cầu độc hại, từ đó đánh cắp dữ liệu cá nhân của nạn nhân.

Ai Lumelsky, nhà nghiên cứu an ninh AI tại Oligo, cảnh báo: "Mã nguồn và tin nhắn nội bộ chỉ là một phần nhỏ thông tin có thể bị truy cập. Nghiêm trọng hơn, việc khai thác 0.0.0.0 có thể cho phép kẻ tấn công xâm nhập vào mạng nội bộ của nạn nhân, mở ra nhiều vector tấn công khác" như truy cập vào tệp tin, tin nhắn và thông tin đăng nhập.

Apple đã xác nhận với Forbes rằng họ sẽ chặn các nỗ lực truy cập 0.0.0.0 trong bản beta của macOS 15 Sequoia. Google cũng đang lên kế hoạch tương tự cho Chrome, trong khi Mozilla vẫn chưa có giải pháp cho Firefox.

Apple cuối cùng đã vá lỗi tồn tại gần 2 thập kỷ trên Safari

Đáng chú ý, Apple sẽ phát hành bản cập nhật Safari 18 cho các phiên bản macOS trước đó, đảm bảo người dùng macOS Sonoma và Ventura cũng được bảo vệ khỏi lỗ hổng này, ngay cả khi họ chưa cập nhật lên macOS Sequoia.

Xem thêm