Google Chrome xử lý hai lỗ hổng zero-day đang bị khai thác

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
600 bài viết
Google Chrome xử lý hai lỗ hổng zero-day đang bị khai thác
Google cho biết hãng vừa xử lý một cặp lỗ hổng zero-day đang bị khai thác tích cực. Hãng cũng khuyến cáo người sử dụng hãy ngay lập tức cập nhật trình duyệt của mình.

Bản phát hành Chrome mới nhất dành cho Windows, Mac và Linux phiên bản 93.0.4577.82 đã vá tổng cộng 11 lỗ hổng, đa số được đánh giá có mức nghiêm trọng cao. Trong đó có 2 lỗi zero-day là CVE-2021-30632 và CVE-2021-30633.

1366_2000.jpg

Google cho biết phiên bản mới nhất dành cho PC sẽ được tung ra trong một vài tuần tới. Tuy nhiên người dùng vẫn có thể chủ động tự cập nhật ngay từ bây giờ theo các thao tác sau:

Vào dấu ba dấu chấm dọc ở góc trên bên phải của trình duyệt, chọn Trợ giúp (Help) > Giới thiệu về Google Chrome (About Google Chrome). Giao diện sẽ hiện ra phần Chrome đang tìm kiếm và cập nhật lên phiên bản chính thức mới nhất, sau đó nhắc bạn khởi chạy lại (Relaunch) trình duyệt để cài đặt các bản vá.

small_chrome_update.jpg

Google hạn chế cung cấp các thông tin chi tiết về các lỗ hổng cho đến khi phần lớn người dùng đã cập nhật bản vá.
  • CVE-2021-30632: Lỗi ghi ngoài giới hạn trong V8 JavaScript Engine
  • CVE-2021-30633: Lỗ hổng Use after free trong API IndexedDB.
Theo báo cáo của Google, CVE-2021-30632 có thể dẫn đến hỏng dữ liệu hoặc thực thi mã không mong muốn. Trong khi CVE-2021-30633 có thể được sử dụng cho nhiều loại tấn công, bao gồm cả thực thi mã từ xa.

9 lỗi khác được Google giải quyết và trao thưởng như sau:
  • [7.500 USD] CVE-2021-30625: Lỗi Use after free trong API Selection và được báo cáo bởi Marcin Towalski của Cisco Talos vào ngày 6/8/2021.
  • [7.500 USD] CVE-2021-30626: Lỗi truy cập bộ nhớ ngoài giới hạn trong ANGLE. Được báo cáo bởi Jeonghoon Shin của Theori vào ngày 18/8/2021.
  • [5.000 USD] CVE-2021-30627: Lỗi Type Confusion trong Blink layout. Được báo cáo bởi Aki Helin của OUSPG vào ngày 1/9/2021.
  • [Tiền thưởng: chưa rõ] CVE-2021-30628: Tràn bộ đệm ngăn xếp trong ANGLE. Được báo cáo bởi Jaehun Jeong (@n3sk) của Theori vào ngày 20/8/2021.
  • [Tiền thưởng: chưa rõ] CVE-2021-30629: Lỗi Use after free trong Permissions. Báo cáo bởi Weipeng Jiang (@Krace) từ Codesafe Team của Tập đoàn công nghệ Qi'anxin vào ngày 26/8/2021.
  • [Tiền thưởng: chưa rõ] CVE-2021-30630: Lỗi triển khai không phù hợp trong Blink. Được báo cáo bởi SorryMybad (@S0rryMybad) của Kunlun Lab vào ngày 30/8/2021.
  • [Tiền thưởng: chưa rõ] CVE-2021-30631: Lỗi Type Confusion trong Blink layout. Được báo cáo bởi Atte Kettunen của OUSPG vào ngày 6/9/2021.
  • [Tiền thưởng: chưa rõ] CVE-2021-30632: Lỗi ghi ngoài giới hạn trong công cụ V8. Được Anonymous báo cáo vào ngày 8/9/2021.
  • [Tiền thưởng: chưa rõ] CVE-2021-30633: Lỗi Use after free trong Indexed DB API. Được Anonymous báo cáo vào ngày 8/9/2021.
Kevin Dunne, đại diện của Pathlock cho biết chỉ riêng trong năm nay, Google đã vá rất nhiều lỗ hổng zero-day. Bản vá mới nhất của Google cho thấy kẻ xấu đang ưa thích tấn công vào trình duyệt, trong đó Chrome là mục tiêu yêu thích bởi sở hữu lượng người dùng đông đảo khiến tin tặc có thể truy cập vào hàng triệu thiết bị trên bất cứ hệ điều hành nào.

Dưới đây là các lỗ hổng zero-day khác được phát hiện cho đến nay vào năm 2021, đa số nằm trong công cụ V8:
Theo Threatpost
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve google chrome zero-day
Bên trên