Đã xác định được sự cố trong trình duyệt Chrome khiến dữ liệu nhạy cảm được gửi tới máy chủ Google khi chế độ kiểm tra chính tả nâng cao được bật, chế độ này bao gồm việc kiểm tra bằng dịch vụ bên ngoài. Sự cố cũng xuất hiện trong trình duyệt Edge khi sử dụng tiện ích bổ sung Microsoft Editor.
Hóa ra, văn bản xác minh được truyền đi, trong số những thứ khác, từ các biểu mẫu nhập liệu chứa dữ liệu bí mật, bao gồm các trường chứa tên người dùng, địa chỉ, email, dữ liệu hộ chiếu và thậm chí cả mật khẩu, nếu các trường nhập mật khẩu không bị giới hạn bởi thẻ chuẩn “ Ví dụ, vấn đề này dẫn đến việc gửi đến máy chủ Lỗ hổng này cho phép hiển thị mật khẩu trên www.googleapis.com khi tùy chọn hiển thị mật khẩu đã nhập được bật, được triển khai trên Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Cloud và LastPass. Trong số 30 trang web nổi tiếng được thử nghiệm, bao gồm mạng xã hội, ngân hàng, nền tảng đám mây và cửa hàng trực tuyến, 29 trang web dễ bị rò rỉ thông tin.
Trong AWS và LastPass, vấn đề đã được giải quyết nhanh chóng bằng cách thêm tham số “spellcheck=false” vào thẻ “input”. Để chặn việc gửi dữ liệu từ phía người dùng, bạn nên tắt tính năng kiểm tra nâng cao trong cài đặt (phần “Ngôn ngữ/Kiểm tra chính tả/Kiểm tra chính tả nâng cao” hoặc “Ngôn ngữ/Kiểm tra chính tả/Kiểm tra chính tả nâng cao”, kiểm tra nâng cao bị tắt theo mặc định).
Nguồn: opennet.ru
