Google Chrome vá lỗ hổng zero-day đã bị khai thác trong thực tế

nǝıH

Active Member
23/03/2020
24
37 bài viết
Google Chrome vá lỗ hổng zero-day đã bị khai thác trong thực tế
chrome-zero-day-vulnerability.jpg
Google vừa phát hành bản cập nhật 88.0.4324.150 cho Windows, Mac và Linux, vá một lỗ hổng zero-day trong trình duyệt web Chrome dành cho PC. Đây là một lỗi tràn bộ đệm (heap overflow) (CVE-2021-21148) và đang bị khai thác trong thực tế. Lỗ hổng được Mattias Buelens báo cáo cho Google vào ngày 24 tháng 1.

Trước đó vào ngày 2 tháng 2, Google đã giải quyết sáu vấn đề trong Chrome, bao gồm một lỗi nghiêm trọng trong Payments (CVE-2021-21142) và bốn lỗi cực kỳ nghiêm trọng trong các tính năng Tiện ích mở rộng, Tab Group, Phông chữ và Điều hướng.

Thông thường, Google không cung cấp chi tiết lỗ hổng cho đến khi phần lớn người dùng được cập nhật bản vá, nhưng Google và Microsoft đã phát hiện các cuộc tấn công do tin tặc Triều Tiên thực hiện nhằm vào các nhà nghiên cứu bảo mật bằng một chiến dịch tấn công kỹ thuật xã hội phức tạp để cài đặt backdoor trên Windows.
Một báo cáo công bố ngày 28 tháng 1 cho biết một số nhà nghiên cứu bị lây nhiễm khi truy cập một blog giả mạo trên các hệ thống được cập nhật đầy đủ bản vá của Windows 10 và Chrome. Điều này ám chỉ những kẻ tấn công có thể đã tận dụng lỗ hổng zero-day trong Chrome để xâm nhập hệ thống.

Mặc dù không rõ CVE-2021-21148 có được sử dụng trong các cuộc tấn công này hay không, thời gian của các tiết lộ và khuyến cáo của Google được đưa ra đúng một ngày sau khi Buelens báo cáo vấn đề cho thấy chúng có thể có liên quan.

Năm ngoái, Google đã khắc phục 5 lỗ hổng zero-day trên Chrome bị khai thác trong khoảng thời gian từ ngày 20 tháng 10 đến ngày 12 tháng 11.
Theo: The Hacker News
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
0day chrome zero-day
Bên trên