Một vấn đề bảo mật “lớn” trong trình duyệt web Google Chrome, cũng như các lựa chọn thay thế dựa trên Chromium, có thể cho phép các trang web độc hại tự động ghi đè nội dung khay nhớ tạm mà không yêu cầu bất kỳ sự đồng ý hoặc tương tác nào của người dùng chỉ bằng cách truy cập chúng.
Theo nhà phát triển Jeff Johnson, cuộc tấn công đầu độc clipboard được cho là đã vô tình được đưa vào phiên bản Chrome 104.
Mặc dù vấn đề cũng tồn tại trong Apple Safari và mozilla Firefox, nhưng điều làm cho vấn đề trở nên nghiêm trọng trong Chrome là yêu cầu đối với cử chỉ của người dùng để sao chép nội dung vào khay nhớ tạm thời đã bị hỏng.
Các cử chỉ của người dùng bao gồm chọn một đoạn văn bản và nhấn Control + C (hoặc ⌘-C cho macOS) hoặc chọn “Sao chép” từ menu ngữ cảnh.
“Do đó, một cử chỉ vô tội như nhấp vào liên kết hoặc nhấn phím mũi tên để cuộn xuống trang sẽ cho phép trang web ghi đè lên khay nhớ tạm hệ thống của bạn”, Johnson lưu ý.
Khả năng thay thế dữ liệu khay nhớ tạm đặt ra các tác động bảo mật. Trong một tình huống tấn công giả định, kẻ thù có thể dụ nạn nhân truy cập vào trang đích giả mạo và viết lại địa chỉ của ví tiền điện tử đã được mục tiêu sao chép trước đó bằng một ví tiền dưới sự kiểm soát của chúng, dẫn đến chuyển tiền trái phép.
Ngoài ra, các tác nhân đe dọa có thể ghi đè lên khay nhớ tạm bằng một liên kết đến các trang web được chế tạo đặc biệt, khiến nạn nhân tải xuống phần mềm nguy hiểm.
“Khi bạn đang điều hướng một trang web, trang đó có thể xóa nội dung hiện tại trong khay nhớ tạm thời hệ thống của bạn, nội dung có thể có giá trị đối với bạn và thay thế chúng bằng bất kỳ thứ gì mà trang muốn, điều này có thể gây nguy hiểm cho bạn trong lần tiếp theo thời gian bạn dán, “Johnson giải thích.
Google đã biết về vấn đề này và một bản vá dự kiến sẽ sớm được phát hành, do mức độ nghiêm trọng của lỗ hổng và khả năng bị các kẻ xấu lạm dụng.
Trong thời gian tạm thời, người dùng nên hạn chế mở các trang web giữa bất kỳ hành động cắt / sao chép và dán nào và xác minh khay nhớ tạm của họ trước khi thực hiện các hoạt động nhạy cảm trên web, chẳng hạn như giao dịch tài chính.
Sự phát triển diễn ra khi Google phát hành phiên bản Chrome mới (105.0.5195.52/53/54) cho Windows, macOS và Linux với các bản sửa lỗi cho 24 thiếu sót, 10 trong số đó liên quan đến các lỗi sử dụng sau khi sử dụng miễn phí trong Dịch vụ mạng, WebSQL, WebSQL, PhoneHub, trong số những người khác.
.
