Cập nhật ngay trình duyệt Chrome để vá lỗ hổng CVE-2021-21224 đang bị khai thác

sImplePerson

sImplePerson

Member
23/03/2020
11
28 bài viết
Cập nhật ngay trình duyệt Chrome để vá lỗ hổng CVE-2021-21224 đang bị khai thác
sImplePerson
chrome-update.jpg
Google vừa phát hành bản cập nhật cho trình duyệt web Chrome trên các hệ điều hành Windows, Mac và Linux, với 7 bản vá lỗ hổng bảo mật, trong đó có 1 lỗ hổng đang bị khai thác trong thực tế.
Lỗ hổng được định danh là CVE-2021-21224, liên quan đến type confusion (nhầm loại) trong engine JavaScript mã nguồn mở V8. Lỗ hổng đã được chuyên gia bảo mật Jose Martinez báo cáo tới Google vào ngày 5/4.
Theo chuyên gia Lei Cao, lỗi [1195777] xảy ra khi thực hiện chuyển đổi kiểu dữ liệu số nguyên, dẫn đến điều kiện nằm ngoài giới hạn, lỗ hổng có thể dẫn đến khả năng đọc/ghi bộ nhớ tùy ý.
"Google đã nhận được các báo cáo về việc khai thác lỗ hổng CVE-2021-21224 trong thực tế", Srinivas Sista, Giám đốc chương trình kỹ thuật của Chrome cho biết.
chrome-code.jpg
Bản cập nhật được đưa ra sau khi mã khai thác lỗ hổng (PoC) trên được một nhà nghiên cứu có tên là "frust" công bố vào ngày 14/4, thông qua việc lợi dụng lỗi "type confusion" đã được xử lý trong mã nguồn V8 nhưng các bản vá đã không được tích hợp vào nhân Chromium và tất cả các trình duyệt dựa trên nó như Chrome, Microsoft Edge, Brave, Vivaldi và Opera.

Cần lưu ý rằng Google đã giảm một nửa "khoảng thời gian vá lỗi", trung bình từ 33 ngày trong Chrome76 xuống còn 15 ngày trong Chrome78, được phát hành vào tháng 10/2019, do đó các bản sửa lỗi bảo mật nghiêm trọng sẽ được cập nhật hai tuần một lần.

Tuy nhiên khoảng cách vá lỗi kéo dài một tuần dẫn đến việc các trình duyệt đứng trước nguy cơ bị tấn công cho đến khi các bản vá trong kho mã nguồn mở được phát hành dưới dạng bản cập nhật ổn định.
Các bản sửa lỗi mới nhất cũng xuất hiện ngay sau bản cập nhật được Google tung ra vào tuần trước với các bản vá cho hai lỗ hổng bảo mật CVE-2021-21206 và CVE-2021-21220 đã được chứng minh tại cuộc thi Pwn2Own 2021 trước đó..

Chrome 90.0.4430.85 dự kiến sẽ ra mắt trong những ngày tới. Người dùng có thể cập nhật lên phiên bản mới nhất bằng cách vào Settings > Help > About Google Chrome để giảm thiểu rủi ro liên quan đến lỗ hổng.

 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Cảnh báo chiêu lừa: Cung cấp dịch vụ đọc trộm tin nhắn
  • Gần 70.000 tên miền bị đánh cắp trong kế hoạch tấn công Sitting Ducks
  • Người dùng Samsung cần cập nhật ngay bản vá cho nhiều lỗ hổng nghiêm trọng
  • Lỗ hổng trong Cisco cho phép tin tặc chạy lệnh root trên các điểm truy cập URWB
  • Phát hiện lỗ hổng hạ cấp hệ điều hành nhắm vào kernel Microsoft Windows
  • Biến thể mới của FASTCash hoạt động trên Linux tiếp tay Hacker đánh cắp tiền từ ATM
    • Bên trên