Theo nhà nghiên cứu Tavis Ormandy thuộc nhóm Google Project Zero – người đã phát hiện lỗ hổng này vào ngày 02/02, tiện ích mở rộng trên Chrome và Firefox của Grammarly để lộ token xác thực cho tất cả các website. Token xác thực này có thể bị tin tặc truy cập từ xa chỉ với 4 dòng lệnh JavaScript. Nói cách khác, bất kỳ website nào mà người dùng Grammarly truy cập đều có thể đánh cắp token xác thực của người dùng, từ đó cho phép kẻ xấu đăng nhập vào tài khoản, truy cập mọi tài liệu, lịch sử, nhật ký sử dụng và các dữ liệu khác.
Ormandy cho rằng đây là lỗi cực kỳ nghiêm trọng, vì nó vi phạm nghiêm trọng đến người dùng. Người dùng sẽ không muốn khi ghé thăm một website sẽ cho phép trang đó truy cập mọi tài liệu và dữ liệu của họ trong các website khác. Ông cũng cung cấp một bản chứng minh khái niệm (PoC) của khai thác, cho thấy sự dễ dàng của việc lợi dụng lỗ hổng này chỉ với 4 dòng lệnh để đánh cắp token truy cập của người dùng Grammarly.
Grammarly đã khắc phục lỗi nghiêm trọng này rất kịp thời. Bản vá cho tiện ích mở rộng trên trình duyệt Chrome và Firefox được phát hành 4 ngày sau khi thông tin về lỗ hổng được cung cấp. Bản vá được cập nhật tự động, không cần người dùng phải thực hiện bất kỳ thao tác nào.
Người phát ngôn của Grammarly cũng viết trong thư điện tử rằng, công ty chưa có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế. Grammarly đã xử lý lỗ hổng bảo mật chỉ vài giờ sau khi lỗ hổng được phát hiện. Theo ông, Grammarly đang tiếp tục chủ động theo dõi mọi hoạt động bất thường.
Lỗ hổng này có thể ảnh hưởng tới các đoạn văn bản lưu trong Grammarly Editor, tuy nhiên không ảnh hưởng tới Grammarly Keyboard, tiện ích add-in Grammarly trong Microsoft Office, hay bất kỳ đoạn văn bản nào nhập trên các website khi sử dụng tiện ích mở rộng Grammarly trên trình duyệt. Lỗi đã được khắc phục và không cần người dùng Grammarly phải thực hiện bất cứ thao tác nào.
Ormandy cho rằng đây là lỗi cực kỳ nghiêm trọng, vì nó vi phạm nghiêm trọng đến người dùng. Người dùng sẽ không muốn khi ghé thăm một website sẽ cho phép trang đó truy cập mọi tài liệu và dữ liệu của họ trong các website khác. Ông cũng cung cấp một bản chứng minh khái niệm (PoC) của khai thác, cho thấy sự dễ dàng của việc lợi dụng lỗ hổng này chỉ với 4 dòng lệnh để đánh cắp token truy cập của người dùng Grammarly.
Grammarly đã khắc phục lỗi nghiêm trọng này rất kịp thời. Bản vá cho tiện ích mở rộng trên trình duyệt Chrome và Firefox được phát hành 4 ngày sau khi thông tin về lỗ hổng được cung cấp. Bản vá được cập nhật tự động, không cần người dùng phải thực hiện bất kỳ thao tác nào.
Người phát ngôn của Grammarly cũng viết trong thư điện tử rằng, công ty chưa có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế. Grammarly đã xử lý lỗ hổng bảo mật chỉ vài giờ sau khi lỗ hổng được phát hiện. Theo ông, Grammarly đang tiếp tục chủ động theo dõi mọi hoạt động bất thường.
Lỗ hổng này có thể ảnh hưởng tới các đoạn văn bản lưu trong Grammarly Editor, tuy nhiên không ảnh hưởng tới Grammarly Keyboard, tiện ích add-in Grammarly trong Microsoft Office, hay bất kỳ đoạn văn bản nào nhập trên các website khi sử dụng tiện ích mở rộng Grammarly trên trình duyệt. Lỗi đã được khắc phục và không cần người dùng Grammarly phải thực hiện bất cứ thao tác nào.
Tác giả: Vũ Đình Hưng
Tin liên quan
- Giải pháp dạy tiếng Anh cho các lớp hệ VLVH quân số đông tại Trường Đại học CSND (21.03.2022)
- Cải tiến, nâng cao hệ thống đảm bảo chất lượng bên trong tại trường Đại học Cảnh sát nhân dân (14.03.2022)
- Xây dựng chương trình, biên soạn tài liệu dạy, học đáp ứng chuẩn đầu ra và ngành nghề đào tạo (13.02.2022)
- Trang thông tin những đóng góp của Luận án NCS Đinh Trần Ngọc Tiên (19.11.2021)
- Trang thông tin những đóng góp của Luận án NCS Giang Tuấn Hùng (19.11.2021)
- Trang thông tin những đóng góp của Luận án NCS Lê Xuân Hùng (19.11.2021)
- Trang thông tin những đóng góp của Luận án NCS Nguyễn Văn Hải (19.11.2021)
- Một số thủ thuật giúp nâng cao năng lực tiếng Anh cho sinh viên Trường Đại học Cảnh sát nhân dân (24.10.2021)
- Quy chế đào tạo thạc sĩ mới có hiệu lực từ 15/10/2021 (29.09.2021)