Google và Firefox vừa có những động thái nhanh chóng về bảo mật. Theo đó, Google vô hiệu hóa hỗ trợ cookie SameSite để ngăn chặn bất kỳ sự cố nào xảy ra đối với các trang web trong thời gian dịch Covid-19 và Firefox sửa 2 lỗi zero-day.
Google vừa tuyên bố đã khôi phục một tính năng bảo mật của trình duyệt Chrome gần đây để ngăn chặn bất kỳ sự gián đoạn nào đối với các trang web hiện nay và tính khả dụng của chúng trong đợt bùng phát virus corona (Covid-19) đang diễn ra.
Justin Schuh, Giám đốc Kỹ thuật Chrome, cho biết: “Trước tình hình đặc biệt toàn cầu do Covid-19, chúng tôi đang tạm thời lùi việc thực thi ghi nhãn SameSite, bắt đầu từ 3/4.
Mặc dù hầu hết hệ sinh thái web đã được chuẩn bị cho sự thay đổi này, nhưng chúng tôi muốn đảm bảo sự ổn định cho các trang web cung cấp các dịch vụ thiết yếu bao gồm ngân hàng, cửa hàng tạp hóa trực tuyến, dịch vụ chính phủ và chăm sóc sức khỏe tạo điều kiện cho cuộc sống hàng ngày của chúng ta trong thời gian này”.
Tính năng – cookie SameSite – đã được bật cho một số lượng nhỏ người dùng Chrome vào tháng 2, với việc phát hành Chrome 80. Google đã lên kế hoạch bật từ từ cho tất cả người dùng trong suốt phần còn lại của năm nay.
Khi được bật, tính năng này sẽ ngăn các tên miền của bên thứ ba tạo các tệp cookie trong khi người dùng không ở trên trang web của họ.
Vai trò chính của tính năng sẽ là ngăn các thực thể trực tuyến sử dụng tệp cookie của trình duyệt để theo dõi người dùng khi họ chuyển từ trang này sang trang khác trên Internet.
Bị ảnh hưởng nhiều nhất bởi sự thay đổi này là các nhà quảng cáo trực tuyến và các công ty phân tích trang web – hầu hết trong số họ đã di chuyển sang các hoạt động theo dõi người dùng khác sau khi Google công bố hỗ trợ cookie SameSite vào tháng 5/2019.
Tuy nhiên, cookie của bên thứ ba cũng được sử dụng trong các bối cảnh khác, cho các trang web chính phủ, cổng thông tin ngân hàng, mạng nội bộ và các trang khác.
Ngay cả khi cookie SameSite chỉ được chuyển tới khoảng 1% cơ sở người dùng Chrome, việc tạm thời quay lại tính năng này sẽ đảm bảo rằng số lượng người dùng nhỏ này sẽ không bị ảnh hưởng bởi bất kỳ sự cố không lường trước nào trong thời gian khủng hoảng do đại dịch.
Schuh cho biết người dùng và chủ sở hữu trang web của Chrome sẽ không thấy sự thay đổi hay gián đoạn nào khi tính năng này được khôi phục và hủy kích hoạt.
Google cho biết họ có kế hoạch kích hoạt lại tính năng này trong tương lai. Kế hoạch hiện tại là khởi động lại giới thiệu cookie SameSite một lần nữa vào mùa hè.
Firefox vá hai lỗi zero-day
Mozilla cũng vừa công bố sẽ phát hành Firefox 74.0.1 để vá hai lỗi zero-day (lỗ hổng chưa được công bố hay khắc phục) do tin tặc khai thác.
Theo đó, người dùng Firefox nên cập nhật trình duyệt của họ để vá hai lỗi đang bị tin tặc khai thác trong thế giới thực.
Các bản sửa lỗi sẵn sàng trên Firefox 74.0.1, đã được công bố ngày 3/4. Phiên bản Firefox mới này bao gồm các bản sửa lỗi cho CVE-2020-6819 và CVE-2020-6820, hai lỗi nằm trong cách Firefox quản lý không gian bộ nhớ của Firefox.
Các lỗi này được gọi là lỗ hổng sử dụng sau do miễn phí (use-after free), cho phép tin tặc đặt mã bên trong bộ nhớ của Firefox và xử lý nó trong bối cảnh của trình duyệt này. Các lỗi như vậy có thể được khai thác để chạy mã trên thiết bị của nạn nhân, mặc dù tác động và phạm vi của mã đó thường khác nhau.
Chi tiết về các cuộc tấn công thực tế nơi hai lỗi này đang bị khai thác vẫn được giữ kín – một thông lệ phổ biến giữa các nhà cung cấp phần mềm và nhà nghiên cứu bảo mật, vì họ tập trung vào việc cung cấp các bản vá trước và sau đó điều tra cụ thể hơn các cuộc tấn công.
Mozilla ghi nhận công ty bảo mật JMP Security và nhà nghiên cứu bảo mật Francisco Alonso phát hiện ra hai lỗi này.
Trong một đăng tải tweet ngày 3/4, nhà nghiên cứu bảo mật Alonso đề xuất rằng các lỗi vừa được phát hiện cũng có thể ảnh hưởng đến các trình duyệt khác, mặc dù không rõ liệu những trình duyệt đó có bị khai thác hay không.
Vẫn còn rất nhiều việc phải làm và nhiều chi tiết sẽ được Mozilla công bố (bao gồm cả các trình duyệt khác).
Đây là lỗi zero-day thứ hai mà Mozilla vá trong Firefox năm nay. Firefox đã vá một lỗi khác vào tháng 1, với việc phát hành Firefox v72.0.1. Lỗi này đã được khai thác để tấn công người dùng ở Trung Quốc và Nhật Bản như một phần của chiến dịch gián điệp mạng do nhà nước tài trợ, theo báo cáo được Qihoo 360 và Đơn vị ứng cứu khẩn cấp máy tính Nhật Bản (Japan CERT) công bố.
