Google khẩn cấp tung bản cập nhật Chrome sửa lỗ hổng zero-day đang bị khai thác

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
600 bài viết
Google khẩn cấp tung bản cập nhật Chrome sửa lỗ hổng zero-day đang bị khai thác
Google đã phát hành Chrome 96.0.4664.110 cho Windows, Mac và Linux, để giải quyết lỗ hổng zero-day mức độ nghiêm trọng cao đang bị khai thác trong thực tế.

Google___Chrome.jpg

Ông lớn ngành công nghệ nói: "Google đã biết về các báo cáo rằng lỗ hổng CVE-2021-4102 đang bị khai thác”.

Mặc dù hãng cho biết có thể mất một thời gian để đến tay tất cả người dùng, nhưng bản cập nhật đã được đưa ra cùng Chrome 96.0.4664.110 trên toàn thế giới trong kênh Stable Desktop.

Khi kiểm tra các bản cập nhật mới từ menu Chrome> Trợ giúp> Giới thiệu về Google Chrome, trình duyệt sẽ tự động kiểm tra các bản cập nhật gần đây và tự động cập nhật sau lần khởi chạy tiếp theo.

Chi tiết khai thác Zero-day không được tiết lộ

Lỗi zero-day được vá có mã định danh là CVE-2021-4102, đã được báo cáo bởi một nhà nghiên cứu ẩn danh và là lỗi use-after-free trong công cụ JavaScript Chrome V8.

Những kẻ tấn công thường khai thác các lỗi use-after-free để thực thi mã tùy ý trên máy tính chạy phiên bản Chrome tồn tại lỗ hổng hoặc qua mặt cơ chế sandbox của trình duyệt.

Mặc dù Google cho biết đã phát hiện ra các cuộc tấn công lợi dụng zero-day này nhưng hãng từ chối chia sẻ thêm thông tin liên quan.

"Quyền truy cập vào chi tiết lỗi và liên kết có thể bị hạn chế cho đến khi phần lớn người dùng cập nhật bản sửa lỗi" Google nói thêm. "Chúng tôi cũng sẽ duy trì các hạn chế nếu lỗi tồn tại trong thư viện của bên thứ ba chưa được khắc phục”.

Cho đến khi Google công bố thông tin chi tiết về lỗ hổng, người dùng sẽ có đủ thời gian để nâng cấp Chrome và ngăn chặn các nỗ lực khai thác.

Với bản cập nhật này, Google đã giải quyết được 16 lỗ hổng zero-day trên Chrome kể từ đầu năm.

Danh sách 15 zero-day khác được vá bao gồm:
  • CVE-2021-21148 - ngày 4 tháng 2
  • CVE-2021-21166 - ngày 2 tháng 3
  • CVE-2021-21193 - ngày 12 tháng 3
  • CVE-2021-21220 - ngày 13 tháng 4
  • CVE-2021-21224 - 20 tháng 4
  • CVE-2021-30551 - ngày 9 tháng 6
  • CVE-2021-30554 - 17 tháng 6
  • CVE-2021-30563 - ngày 15 tháng 7
  • CVE-2021-30632 và CVE-2021-30633 - ngày 13 tháng 9
  • CVE-2021-37973 - ngày 24 tháng 9
  • CVE-2021-37976 và CVE-2021-37975 - ngày 30 tháng 9
  • CVE-2021-38000 và CVE-2021-38003 - ngày 28 tháng 10
Vì zero-day này đã bị những kẻ tấn công lợi dụng trong thực tế, nên việc cài đặt bản cập nhật Google Chrome mới nhất được khuyến khích thực hiện càng sớm càng tốt.

Nguồn: Bleeping Computer
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
chrome 96.0.4664.110 cve-2021-4102 use-after-free
Bên trên