-
06/07/2013
-
797
-
1.308 bài viết
Cập nhật ngay! Chrome 114 vá lỗ hổng nghiêm trọng
Google đã phát hành bản cập nhật Chrome 114 vá tổng cộng 4 lỗ hổng, trong đó có 3 lỗ hổng nghiêm trọng do các nhà nghiên cứu bên ngoài báo cáo.
(Ảnh: androidpolice)
Google cho biết đã chi tổng cộng 35.000 đô la tiền thưởng cho các nhà nghiên cứu đã báo cáo các lỗ hổng này.
Số tiền thưởng cao nhất được trao cho nhà nghiên cứu Man Yue Mo từ GitHub Security Lab, người đã phát hiện ra một lỗ hổng trong công cụ JavaScript V8 của Chrome. Với mã CVE-2023-3420, điểm CVSS 8,8, lỗ hổng này đã được trao giải thưởng bug bounty trị giá 20.000 đô la.
Tiếp theo là CVE-2023-3421, điểm CVSS 8,8 là một lỗ hổng use-after-free trong Media. Nhà nghiên cứu Piotr Bania từ Cisco Talos đã nhận được 10.000 đô la tiền thưởng bug cho việc phát hiện lỗ hổng này.
Các lỗ hổng use-after-free, có thể dẫn đến thực thi mã tùy ý, làm hỏng dữ liệu hoặc từ chối dịch vụ.
Trong Chrome, những lỗ hổng này có thể dẫn đến việc thoát khỏi chế độ sandbox nếu kẻ tấn công nhắm vào tiến trình trình duyệt có đặc quyền hoặc lỗ hổng trong hệ điều hành cơ bản.
Lỗ hổng thứ ba là CVE-2023-3422, lỗi use-after-free trong Guest View, Google đã trả 5.000 đô la tiền thưởng cho một nhà nghiên cứu có tên 'asnine'.
Google không đề cập đến việc các lỗ hổng này đã bị khai thác trong các cuộc tấn công. Phiên bản Chrome mới nhất hiện đang được triển khai dưới dạng phiên bản 114.0.5735.198 cho macOS và Linux, 114.0.5735.198/199 cho Windows. Vì vậy người dùng Chrome nên cập nhật ngay để tránh nguy cơ bị khai thác.
(Ảnh: androidpolice)
Google cho biết đã chi tổng cộng 35.000 đô la tiền thưởng cho các nhà nghiên cứu đã báo cáo các lỗ hổng này.
Số tiền thưởng cao nhất được trao cho nhà nghiên cứu Man Yue Mo từ GitHub Security Lab, người đã phát hiện ra một lỗ hổng trong công cụ JavaScript V8 của Chrome. Với mã CVE-2023-3420, điểm CVSS 8,8, lỗ hổng này đã được trao giải thưởng bug bounty trị giá 20.000 đô la.
Tiếp theo là CVE-2023-3421, điểm CVSS 8,8 là một lỗ hổng use-after-free trong Media. Nhà nghiên cứu Piotr Bania từ Cisco Talos đã nhận được 10.000 đô la tiền thưởng bug cho việc phát hiện lỗ hổng này.
Các lỗ hổng use-after-free, có thể dẫn đến thực thi mã tùy ý, làm hỏng dữ liệu hoặc từ chối dịch vụ.
Trong Chrome, những lỗ hổng này có thể dẫn đến việc thoát khỏi chế độ sandbox nếu kẻ tấn công nhắm vào tiến trình trình duyệt có đặc quyền hoặc lỗ hổng trong hệ điều hành cơ bản.
Lỗ hổng thứ ba là CVE-2023-3422, lỗi use-after-free trong Guest View, Google đã trả 5.000 đô la tiền thưởng cho một nhà nghiên cứu có tên 'asnine'.
Google không đề cập đến việc các lỗ hổng này đã bị khai thác trong các cuộc tấn công. Phiên bản Chrome mới nhất hiện đang được triển khai dưới dạng phiên bản 114.0.5735.198 cho macOS và Linux, 114.0.5735.198/199 cho Windows. Vì vậy người dùng Chrome nên cập nhật ngay để tránh nguy cơ bị khai thác.
Theo: Securityweek
Chỉnh sửa lần cuối bởi người điều hành: