Phiên bản 1.0.41 trở xuống của tiện ích mở rộng Claude Chrome có lỗ hổng tiêm từ khóa cảnh báo nguy hiểm, cần nâng cấp kịp thời

Tin tức từ Deep Tide TechFlow, ngày 27 tháng 3, theo báo cáo của GoPlus trích dẫn Koi, tiện ích mở rộng Claude Chrome của thuộc sở hữu của Anthropic có một lỗ hổng tiêm từ khóa cảnh báo nguy hiểm cao, tất cả các phiên bản dưới 1.0.41 đều bị ảnh hưởng.

Kẻ tấn công có thể tạo ra các trang web độc hại, âm thầm tải iframe chứa lỗ hổng tấn công chéo (XSS) trong nền, và thực thi mã độc trong tên miền phụ a-cdn.claude.ai. Vì tên miền phụ này nằm trong danh sách trắng đáng tin cậy của tiện ích mở rộng, kẻ tấn công có thể gửi trực tiếp các từ khóa cảnh báo độc hại đến Claude và tự động thực thi, toàn bộ quá trình không cần sự cho phép hoặc nhấp chuột của người dùng, người dùng không nhận biết.

Lỗ hổng này có thể cho phép kẻ tấn công điều khiển tiện ích Claude đọc các tài liệu Google Drive của người dùng, đánh cắp mã truy cập dịch vụ hoặc xuất dữ liệu trò chuyện, và từ đó chiếm quyền kiểm soát phiên trình duyệt hiện tại, thực hiện các thao tác nhạy cảm như gửi email dưới danh nghĩa người dùng.

GoPlus khuyên người dùng cập nhật ngay tiện ích Claude lên phiên bản 1.0.41 hoặc cao hơn, đồng thời cảnh giác với các liên kết lừa đảo.