Một lỗ hổng bảo mật nghiêm trọng trên nền tảng Chromium – bộ khung của Google Chrome, Microsoft Edge, Opera và nhiều trình duyệt phổ biến khác – đang làm dấy lên lo ngại về nguy cơ đánh cắp dữ liệu trên diện rộng.
Google vừa công bố mã khai thác mẫu (proof-of-concept) cho một lỗ hổng bảo mật chưa được vá hoàn toàn trong Chromium, nền tảng mã nguồn mở được sử dụng trên hàng loạt trình duyệt phổ biến hiện nay.
Động thái này ngay lập tức thu hút sự chú ý của giới an ninh mạng, do phạm vi ảnh hưởng quá lớn. Chromium hiện là nền tảng cốt lõi của Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi và nhiều trình duyệt khác, đồng nghĩa hàng triệu thiết bị trên toàn cầu có thể nằm trong vùng rủi ro.
Theo các chuyên gia, lỗ hổng nằm ở Browser Fetch API – cơ chế giúp trình duyệt tải dữ liệu nền như video hoặc các nội dung dung lượng lớn nhằm tối ưu trải nghiệm người dùng.
Lỗ hổng tồn tại nhiều năm, chưa được vá hoàn toàn
Điều khiến giới chuyên gia lo ngại là lỗ hổng này được cho đã xuất hiện từ cuối năm 2022, nhưng đến nay vẫn chưa được xử lý triệt để.
Nhà nghiên cứu bảo mật Lyra Rebane cho biết việc khắc phục kéo dài gần bốn năm cho thấy áp lực ngày càng lớn đối với các hệ thống phần mềm phức tạp như Chromium.
Nguy hiểm hơn, việc Google công khai mã khai thác mẫu khi bản vá chưa được phổ biến rộng rãi bị cho là có thể tạo lợi thế cho giới tội phạm mạng.
