Theo nhà nghiên cứu Tavis Ormandy thuộc nhóm Google Project Zero – người đã phát hiện lỗ hổng này vào ngày 02/02, tiện ích mở rộng trên Chrome và Firefox của Grammarly để lộ token xác thực cho tất cả các website. Token xác thực này có thể bị tin tặc truy cập từ xa chỉ với 4 dòng lệnh JavaScript. Nói cách khác, bất kỳ website nào mà người dùng Grammarly truy cập đều có thể đánh cắp token xác thực của người dùng, từ đó cho phép kẻ xấu đăng nhập vào tài khoản, truy cập mọi tài liệu, lịch sử, nhật ký sử dụng và các dữ liệu khác.
Ormandy cho rằng đây là lỗi cực kỳ nghiêm trọng, vì nó vi phạm nghiêm trọng đến người dùng. Người dùng sẽ không muốn khi ghé thăm một website sẽ cho phép trang đó truy cập mọi tài liệu và dữ liệu của họ trong các website khác. Ông cũng cung cấp một bản chứng minh khái niệm (PoC) của khai thác, cho thấy sự dễ dàng của việc lợi dụng lỗ hổng này chỉ với 4 dòng lệnh để đánh cắp token truy cập của người dùng Grammarly.
Grammarly đã khắc phục lỗi nghiêm trọng này rất kịp thời. Bản vá cho tiện ích mở rộng trên trình duyệt Chrome và Firefox được phát hành 4 ngày sau khi thông tin về lỗ hổng được cung cấp. Bản vá được cập nhật tự động, không cần người dùng phải thực hiện bất kỳ thao tác nào.
Người phát ngôn của Grammarly cũng viết trong thư điện tử rằng, công ty chưa có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế. Grammarly đã xử lý lỗ hổng bảo mật chỉ vài giờ sau khi lỗ hổng được phát hiện. Theo ông, Grammarly đang tiếp tục chủ động theo dõi mọi hoạt động bất thường.
Lỗ hổng này có thể ảnh hưởng tới các đoạn văn bản lưu trong Grammarly Editor, tuy nhiên không ảnh hưởng tới Grammarly Keyboard, tiện ích add-in Grammarly trong Microsoft Office, hay bất kỳ đoạn văn bản nào nhập trên các website khi sử dụng tiện ích mở rộng Grammarly trên trình duyệt. Lỗi đã được khắc phục và không cần người dùng Grammarly phải thực hiện bất cứ thao tác nào.
Ormandy cho rằng đây là lỗi cực kỳ nghiêm trọng, vì nó vi phạm nghiêm trọng đến người dùng. Người dùng sẽ không muốn khi ghé thăm một website sẽ cho phép trang đó truy cập mọi tài liệu và dữ liệu của họ trong các website khác. Ông cũng cung cấp một bản chứng minh khái niệm (PoC) của khai thác, cho thấy sự dễ dàng của việc lợi dụng lỗ hổng này chỉ với 4 dòng lệnh để đánh cắp token truy cập của người dùng Grammarly.
Grammarly đã khắc phục lỗi nghiêm trọng này rất kịp thời. Bản vá cho tiện ích mở rộng trên trình duyệt Chrome và Firefox được phát hành 4 ngày sau khi thông tin về lỗ hổng được cung cấp. Bản vá được cập nhật tự động, không cần người dùng phải thực hiện bất kỳ thao tác nào.
Người phát ngôn của Grammarly cũng viết trong thư điện tử rằng, công ty chưa có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế. Grammarly đã xử lý lỗ hổng bảo mật chỉ vài giờ sau khi lỗ hổng được phát hiện. Theo ông, Grammarly đang tiếp tục chủ động theo dõi mọi hoạt động bất thường.
Lỗ hổng này có thể ảnh hưởng tới các đoạn văn bản lưu trong Grammarly Editor, tuy nhiên không ảnh hưởng tới Grammarly Keyboard, tiện ích add-in Grammarly trong Microsoft Office, hay bất kỳ đoạn văn bản nào nhập trên các website khi sử dụng tiện ích mở rộng Grammarly trên trình duyệt. Lỗi đã được khắc phục và không cần người dùng Grammarly phải thực hiện bất cứ thao tác nào.
Tác giả: Vũ Đình Hưng
Tin liên quan
- Hệ thống điều khiển thông tin khẩn cấp của lực lượng Cảnh sát Nhật Bản (10.05.2019)
- Phụ nữ CAND trong đấu tranh giải phóng dân tộc và xây dựng, bảo vệ Tổ quốc (10.05.2019)
- Gặp mặt đầu xuân Mậu Tuất (06.05.2019)
- 70 năm Công an nhân dân làm theo lời Bác (19.04.2019)
- Lực lượng CAND thực hiện Sáu điều Bác Hồ dạy và Lời kêu gọi thi đua ái quốc của Chủ tịch Hồ Chí Minh (18.04.2019)
- Không chủ quan, lơ là, mất cảnh giác trước sự chống phá của các thế lực thù địch (17.04.2019)
- Nâng cao hiệu quả tổ chức phong trào dạy giỏi tại Trường Đại học Cảnh sát nhân dân (23.03.2019)
- Người dùng cảnh giác email mạo danh được gửi tới iPhone và Macbook (15.03.2019)
- Tuổi thanh xuân (13.03.2019)