Điều gây lo ngại là Google đã công khai đoạn mã khai thác mẫu trong khi bản vá hoàn chỉnh chưa được triển khai rộng rãi. Theo các chuyên gia an ninh mạng, động thái này có thể tạo điều kiện để tin tặc nhanh chóng phát triển các phương thức tấn công thực tế.
Theo Ars Technica, lỗ hổng liên quan đến Browser Fetch API, công nghệ cho phép trình duyệt tải các tệp dung lượng lớn dưới nền như video hoặc dữ liệu đa phương tiện. Tuy nhiên, cơ chế này bị phát hiện có thể bị lợi dụng để vượt qua một số lớp bảo mật của trình duyệt.
Nhà nghiên cứu an ninh mạng Lyra Rebane cho biết lỗ hổng đã được báo cáo từ cuối năm 2022 nhưng đến nay mới được xử lý sâu hơn. Điều đó đồng nghĩa nguy cơ khai thác đã tồn tại trong thời gian dài trên hàng triệu thiết bị sử dụng Chromium.
Các chuyên gia bảo mật cảnh báo việc công bố mã khai thác trước khi người dùng nhận được đầy đủ bản vá có thể tạo ra “cuộc đua” giữa hacker và các hãng phát triển trình duyệt. Chỉ cần người dùng truy cập vào website độc hại hoặc nhấp vào quảng cáo chứa mã độc, tin tặc có thể tiến hành khai thác lỗ hổng.
Không chỉ Chrome, người dùng Edge, Opera, Brave hay Vivaldi cũng được khuyến cáo cập nhật trình duyệt ngay khi có bản vá mới do các nền tảng này đều phát triển dựa trên Chromium.
Bên cạnh đó, chuyên gia bảo mật khuyên người dùng hạn chế truy cập website lạ, không cài tiện ích mở rộng không rõ nguồn gốc và tránh nhấp vào các quảng cáo đáng ngờ.
Theo giới chuyên môn, các cuộc tấn công kiểu này đặc biệt nguy hiểm vì hacker không cần cài phần mềm độc hại trực tiếp lên máy tính. Thay vào đó, chúng chỉ cần lợi dụng nội dung web được thiết kế riêng để khai thác lỗ hổng, khiến người dùng rất khó phát hiện.
Sự việc lần này cũng cho thấy áp lực ngày càng lớn trong việc bảo vệ các trình duyệt hiện đại, nơi hàng tỷ người đang sử dụng để làm việc, giao dịch tài chính và lưu trữ dữ liệu cá nhân mỗi ngày.
