Một trong hai lỗ hổng trên có thể cho phép hacker phá hoại trình duyệt khiến nó bị treo đứng. Theo nhà nghiên cứu bảo mật Rishi Narang thì lỗ hổng này có thể cho phép hacker tạo ra một đường link độc hại gắn kèm theo một bộ xử lý không xác định. Khi người dùng nhấn vào đường link này, trình duyệt Chrome sẽ bị treo cứng.
Lỗ hổng thứ hai có vẻ nghiêm trọng hơn, có thể khiến người dùng Chrome phải download nhầm các mã độc. Nguyên do là Google sử dụng phiên bản cũ của WebKit, một công nghệ trình duyệt nguồn mở được sử dụng trong trình duyệt Apple Safari (đang tồn tại lỗ hổng).
Người có công phát hiện ra lỗ hổng trên là nhà nghiên cứu bảo mật Aviv Raff. Theo ông này, vấn đề nằm trong cách thức Chrome download tệp tin và cách mà Windows xử lý các tệp tin download đó.
Chrome chỉ định các tệp tin download về cùng một thư mục, và nó sẽ hiện thanh trạng thái download ở phía dưới trang. Khi người dùng kích vào phần này để mở file, Windows sẽ hiển thị cảnh báo để người dùng không thực thi nhầm các mã độc hại. Tuy nhiên, nếu tệp tin download là dạng đuôi JAR, thì Chrome vẫn coi nó như các file thực thi khác. Khi người dùng nhấn vào thanh download, thay vì hiển thị cảnh báo, Windows sẽ tự động chạy file này.
Cũng theo Aviv Raff, có thể trong thời gian tới Chrome sẽ đối mặt với những sự cố tương tự bởi trình duyệt này sử dụng các công nghệ vay mượn từ nhiều trình duyệt khác như Safari (của Apple), hay Firefox của Mozilla.
Hiện Google vẫn chưa có bình luận nào về thông tin trên, và cũng chưa có kế hoạch chỉnh sửa nào để khắc phục sự cố trong Chrome. Tuy nhiên, phát ngôn viên Google cho biết Chrome có thể download file về nhiều thư mục khác nhau thay vì chỉ tải về nền desktop, hoặc cấu hình trình duyệt yêu cầu người dùng chọn vị trí lưu file trước khi tải về.
Phát ngôn viên Google cũng không nói rõ liệu Google có định nâng cấp phiên bản WebKit gần đây hay không. Nếu được nâng cấp thì Chrome sẽ không mắc lỗi trên.
và quét mã QR
Bình luận (0)