Theo nhà nghiên cứu Tavis Ormandy thuộc nhóm Google Project Zero – người đã phát hiện lỗ hổng này vào ngày 02/02, tiện ích mở rộng trên Chrome và Firefox của Grammarly để lộ token xác thực cho tất cả các website. Token xác thực này có thể bị tin tặc truy cập từ xa chỉ với 4 dòng lệnh JavaScript. Nói cách khác, bất kỳ website nào mà người dùng Grammarly truy cập đều có thể đánh cắp token xác thực của người dùng, từ đó cho phép kẻ xấu đăng nhập vào tài khoản, truy cập mọi tài liệu, lịch sử, nhật ký sử dụng và các dữ liệu khác.
Ormandy cho rằng đây là lỗi cực kỳ nghiêm trọng, vì nó vi phạm nghiêm trọng đến người dùng. Người dùng sẽ không muốn khi ghé thăm một website sẽ cho phép trang đó truy cập mọi tài liệu và dữ liệu của họ trong các website khác. Ông cũng cung cấp một bản chứng minh khái niệm (PoC) của khai thác, cho thấy sự dễ dàng của việc lợi dụng lỗ hổng này chỉ với 4 dòng lệnh để đánh cắp token truy cập của người dùng Grammarly.
Grammarly đã khắc phục lỗi nghiêm trọng này rất kịp thời. Bản vá cho tiện ích mở rộng trên trình duyệt Chrome và Firefox được phát hành 4 ngày sau khi thông tin về lỗ hổng được cung cấp. Bản vá được cập nhật tự động, không cần người dùng phải thực hiện bất kỳ thao tác nào.
Người phát ngôn của Grammarly cũng viết trong thư điện tử rằng, công ty chưa có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế. Grammarly đã xử lý lỗ hổng bảo mật chỉ vài giờ sau khi lỗ hổng được phát hiện. Theo ông, Grammarly đang tiếp tục chủ động theo dõi mọi hoạt động bất thường.
Lỗ hổng này có thể ảnh hưởng tới các đoạn văn bản lưu trong Grammarly Editor, tuy nhiên không ảnh hưởng tới Grammarly Keyboard, tiện ích add-in Grammarly trong Microsoft Office, hay bất kỳ đoạn văn bản nào nhập trên các website khi sử dụng tiện ích mở rộng Grammarly trên trình duyệt. Lỗi đã được khắc phục và không cần người dùng Grammarly phải thực hiện bất cứ thao tác nào.
Ormandy cho rằng đây là lỗi cực kỳ nghiêm trọng, vì nó vi phạm nghiêm trọng đến người dùng. Người dùng sẽ không muốn khi ghé thăm một website sẽ cho phép trang đó truy cập mọi tài liệu và dữ liệu của họ trong các website khác. Ông cũng cung cấp một bản chứng minh khái niệm (PoC) của khai thác, cho thấy sự dễ dàng của việc lợi dụng lỗ hổng này chỉ với 4 dòng lệnh để đánh cắp token truy cập của người dùng Grammarly.
Grammarly đã khắc phục lỗi nghiêm trọng này rất kịp thời. Bản vá cho tiện ích mở rộng trên trình duyệt Chrome và Firefox được phát hành 4 ngày sau khi thông tin về lỗ hổng được cung cấp. Bản vá được cập nhật tự động, không cần người dùng phải thực hiện bất kỳ thao tác nào.
Người phát ngôn của Grammarly cũng viết trong thư điện tử rằng, công ty chưa có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế. Grammarly đã xử lý lỗ hổng bảo mật chỉ vài giờ sau khi lỗ hổng được phát hiện. Theo ông, Grammarly đang tiếp tục chủ động theo dõi mọi hoạt động bất thường.
Lỗ hổng này có thể ảnh hưởng tới các đoạn văn bản lưu trong Grammarly Editor, tuy nhiên không ảnh hưởng tới Grammarly Keyboard, tiện ích add-in Grammarly trong Microsoft Office, hay bất kỳ đoạn văn bản nào nhập trên các website khi sử dụng tiện ích mở rộng Grammarly trên trình duyệt. Lỗi đã được khắc phục và không cần người dùng Grammarly phải thực hiện bất cứ thao tác nào.
Tác giả: Vũ Đình Hưng
Tin liên quan
- Bế giảng khóa D16T – C10 (17.05.2022)
- Đề thi đánh giá tuyển sinh đại học chính quy CAND năm 2022 có dạng thức như thế nào? (27.04.2022)
- Trang thông tin về những đóng góp mới của Luận án NCS Trần Minh Luân (14.04.2022)
- Trang thông tin về những đóng góp mới của Luận án NCS Nguyễn Tiến Nam (14.04.2022)
- Trang thông tin về những đóng góp mới của Luận án NCS Lê Trần Bảo Khoa (14.04.2022)
- Trang thông tin về những đóng góp mới của Luận án NCS Huỳnh Văn Hiếu (14.04.2022)
- Chỉ tiêu, phương thức tuyển sinh vào các trường CAND năm 2022 (06.04.2022)
- Khai giảng khóa Bồi dưỡng chức danh Phó trưởng phòng và tương đương khối Cảnh sát mở tại T05 (04.04.2022)
- Trao đổi về giảng dạy - học tâp trực tuyến môn tiếng Anh tại Trường Đại học CSND (03.04.2022)