Theo nhà nghiên cứu Tavis Ormandy thuộc nhóm Google Project Zero – người đã phát hiện lỗ hổng này vào ngày 02/02, tiện ích mở rộng trên Chrome và Firefox của Grammarly để lộ token xác thực cho tất cả các website. Token xác thực này có thể bị tin tặc truy cập từ xa chỉ với 4 dòng lệnh JavaScript. Nói cách khác, bất kỳ website nào mà người dùng Grammarly truy cập đều có thể đánh cắp token xác thực của người dùng, từ đó cho phép kẻ xấu đăng nhập vào tài khoản, truy cập mọi tài liệu, lịch sử, nhật ký sử dụng và các dữ liệu khác.
Ormandy cho rằng đây là lỗi cực kỳ nghiêm trọng, vì nó vi phạm nghiêm trọng đến người dùng. Người dùng sẽ không muốn khi ghé thăm một website sẽ cho phép trang đó truy cập mọi tài liệu và dữ liệu của họ trong các website khác. Ông cũng cung cấp một bản chứng minh khái niệm (PoC) của khai thác, cho thấy sự dễ dàng của việc lợi dụng lỗ hổng này chỉ với 4 dòng lệnh để đánh cắp token truy cập của người dùng Grammarly.
Grammarly đã khắc phục lỗi nghiêm trọng này rất kịp thời. Bản vá cho tiện ích mở rộng trên trình duyệt Chrome và Firefox được phát hành 4 ngày sau khi thông tin về lỗ hổng được cung cấp. Bản vá được cập nhật tự động, không cần người dùng phải thực hiện bất kỳ thao tác nào.
Người phát ngôn của Grammarly cũng viết trong thư điện tử rằng, công ty chưa có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế. Grammarly đã xử lý lỗ hổng bảo mật chỉ vài giờ sau khi lỗ hổng được phát hiện. Theo ông, Grammarly đang tiếp tục chủ động theo dõi mọi hoạt động bất thường.
Lỗ hổng này có thể ảnh hưởng tới các đoạn văn bản lưu trong Grammarly Editor, tuy nhiên không ảnh hưởng tới Grammarly Keyboard, tiện ích add-in Grammarly trong Microsoft Office, hay bất kỳ đoạn văn bản nào nhập trên các website khi sử dụng tiện ích mở rộng Grammarly trên trình duyệt. Lỗi đã được khắc phục và không cần người dùng Grammarly phải thực hiện bất cứ thao tác nào.
Ormandy cho rằng đây là lỗi cực kỳ nghiêm trọng, vì nó vi phạm nghiêm trọng đến người dùng. Người dùng sẽ không muốn khi ghé thăm một website sẽ cho phép trang đó truy cập mọi tài liệu và dữ liệu của họ trong các website khác. Ông cũng cung cấp một bản chứng minh khái niệm (PoC) của khai thác, cho thấy sự dễ dàng của việc lợi dụng lỗ hổng này chỉ với 4 dòng lệnh để đánh cắp token truy cập của người dùng Grammarly.
Grammarly đã khắc phục lỗi nghiêm trọng này rất kịp thời. Bản vá cho tiện ích mở rộng trên trình duyệt Chrome và Firefox được phát hành 4 ngày sau khi thông tin về lỗ hổng được cung cấp. Bản vá được cập nhật tự động, không cần người dùng phải thực hiện bất kỳ thao tác nào.
Người phát ngôn của Grammarly cũng viết trong thư điện tử rằng, công ty chưa có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế. Grammarly đã xử lý lỗ hổng bảo mật chỉ vài giờ sau khi lỗ hổng được phát hiện. Theo ông, Grammarly đang tiếp tục chủ động theo dõi mọi hoạt động bất thường.
Lỗ hổng này có thể ảnh hưởng tới các đoạn văn bản lưu trong Grammarly Editor, tuy nhiên không ảnh hưởng tới Grammarly Keyboard, tiện ích add-in Grammarly trong Microsoft Office, hay bất kỳ đoạn văn bản nào nhập trên các website khi sử dụng tiện ích mở rộng Grammarly trên trình duyệt. Lỗi đã được khắc phục và không cần người dùng Grammarly phải thực hiện bất cứ thao tác nào.
Tác giả: Vũ Đình Hưng
Tin liên quan
- Bỏ 2 mã bài thi trong kỳ thi đánh giá tuyển sinh CAND 2023 (16.03.2023)
- Bế giảng Khóa D3T – Khánh Hòa (21.12.2022)
- Bế giảng hai Khóa đào tạo Đại học CSND hình thức VLVH mở tại địa phương (11.11.2022)
- Bế giảng khóa D1T – Gia Lai (28.10.2022)
- Tập huấn về công tác đảm bảo, cải tiến chất lượng đào tạo sau đánh giá ngoài (14.10.2022)
- Công tác KT&ĐBCLĐT – 10 năm xây dựng và phát triển (11.10.2022)
- Những điểm mới đáng chú ý trong quy chế tuyển sinh đại học 2022 (01.07.2022)
- Tổng kết Hội thi chủ nhiệm trung đội giỏi năm 2022 (02.06.2022)
- Bế giảng khóa D16T – C10 (17.05.2022)