Lỗ hổng này ảnh hưởng đến các thiết bị sử dụng hệ điều hành macOS, cho phép các tài khoản khách (Guest User) đăng nhập với tư cách là khách, nhưng vẫn có thể nhận phiên đang hoạt động của người dùng khác (như quản trị viên), mà không cần nhập mật khẩu.
Chrome Remote Desktop là tiện ích mở rộng của trình duyệt Chrome, cho phép người dùng truy cập từ xa vào một máy tính khác thông qua trình duyệt Chrome hoặc thiết bị Chromebook. Đây là ứng dụng hoàn toàn đa nền tảng và hỗ trợ các phiên bản macOS từ OS X 10.6 (2009) trở lên, áp dụng cho tất cả các thiết bị có cài đặt trình duyệt Chrome.
Các nhà nghiên cứu Ofer Caspi và Benjamin Berger của Check Point đã thông báo lỗi này cho Google vào ngày 15/02/2018. Theo phản hồi từ Google, màn hình đăng nhập không phải là giới hạn an ninh. Tuy nhiên, các nhà nghiên cứu không đồng ý với phản hồi này và khuyên người dùng nên cảnh giác.
Theo kết quả nghiên cứu, trên hệ điều hành macOS, hoàn toàn có thể cho phép người khác sử dụng máy tính với tư cách tài khoản khách mà không cần thêm tài khoản người dùng riêng biệt. Để khai thác lỗ hổng này, khi tài khoản khách kết nối với một thiết bị để điều khiển từ xa, thiết bị này cần có ít nhất một người dùng đang hoạt động trong phiên (chẳng hạn như một người dùng đăng nhập và khóa màn hình sau một khoảng thời gian nào đó).
Nhật Minh
Theo tạp chí Infosecurity
08:00 | 24/01/2020
07:00 | 06/07/2018
09:00 | 27/07/2018
14:00 | 22/08/2024
Các máy chủ của Microchip Technology, nhà cung ứng chip quan trọng cho ngành công nghiệp quốc phòng Mỹ đã bị tấn công, buộc công ty này phải tạm ngừng một số hệ thống và giảm quy mô hoạt động.
14:00 | 20/08/2024
Theo Cisco Talos, một viện nghiên cứu trực thuộc chính phủ Đài Loan chuyên về điện toán và các công nghệ liên quan đã bị nhóm tin tặc có mối liên kết với Trung Quốc tấn công.
10:00 | 31/07/2024
Mới đây, tin tặc đã phát tán tài liệu nội bộ liên quan đến các cơ quan trọng yếu của Mỹ như Bộ Quốc phòng, Bộ An ninh Nội địa, Cơ quan Hàng không và Vũ trụ (NASA). Theo đó, tài liệu nội bộ bị đánh cắp từ Leidos Holdings, một trong những nhà cung cấp dịch vụ công nghệ thông tin lớn nhất của Chính phủ Mỹ.
16:00 | 26/07/2024
Nhóm APT có tên là CloudSorcerer đã được phát hiện đang nhắm mục tiêu vào chính phủ Nga bằng cách tận dụng các dịch vụ đám mây để giám sát và kiểm soát (command-and-control, C2) và lọc dữ liệu.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Các cơ quan chính phủ tại Mỹ, Úc và Canada đưa ra cảnh báo các tác nhân đe dọa được nhà nước Iran bảo trợ sử dụng kỹ thuật tấn công Brute Force và nhiều phương thức khác để triển khai các chiến dịch tấn công mạng nhắm vào các tổ chức cơ sở hạ tầng quan trọng.
10:00 | 25/10/2024
