DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Google phát hành Chrome 103 vá 14 lỗ hổng an ninh
Gần đây, Google đã phát hành phiên bản Chrome 103 với các bản vá cho tổng số 14 lỗ hổng, trong đó có 9 lỗ hổng được báo cáo bởi các nhà nghiên cứu bên ngoài công ty.
Lỗ hổng nghiêm trọng nhất có mã định danh CVE-2022-2156, là lỗi use-after-free tồn tại trong Base. Lỗi được phát hiện bởi Mark Brand của Google Project Zero. Theo chính sách của Google, sẽ không có phần thưởng được trao cho lỗ hổng an ninh này.
CVE-2022-2156 bắt nguồn từ quá trình một chương trình giải phóng bộ nhớ nhưng không xóa con trỏ đằng sau nó dẫn đến thực thi mã tùy ý, gây hỏng dữ liệu hoặc từ chối dịch vụ.
Hacker thường kết hợp lỗi use-after-free với một lỗ hổng khác để kiểm soát hệ thống bị ảnh hưởng. Trong Chrome, lỗ hổng use-after-free thường có thể bị khai thác để thoát khỏi sandbox của trình duyệt.
Chrome 103 giải quyết ba lỗ hổng use-after-free do các nhà nghiên cứu bên ngoài báo cáo, tác động đến các thành phần như nhóm Interest (CVE-2022-2157, mức độ nghiêm trọng cao), WebApp Provider (CVE-2022-2161, mức độ nghiêm trọng trung bình) và Cast UI và Toolbar (CVE-2022-2163, mức độ nghiêm trọng thấp).
Bản cập này cũng sửa lỗ hổng type confusion có mức độ nghiêm trọng trong V8 JavaScript và WebAssembly (CVE-2022-2158), cùng với 4 sự cố mức độ trung bình và thấp khác.
Google đã trả tổng cộng 44.000 đô la tiền thưởng lỗi cho các nhà nghiên cứu. Đồng thời khẳng định chưa có bằng chứng nào cho thấy các lỗ hổng này bị khai thác trong thực tế.
Người dùng Windows, Mac và Linux nên cập nhật lên phiên bản Chrome 103.0.5060.53 để tránh gặp rủi ro mà các lỗ hổng gây ra.
Lỗ hổng nghiêm trọng nhất có mã định danh CVE-2022-2156, là lỗi use-after-free tồn tại trong Base. Lỗi được phát hiện bởi Mark Brand của Google Project Zero. Theo chính sách của Google, sẽ không có phần thưởng được trao cho lỗ hổng an ninh này.
CVE-2022-2156 bắt nguồn từ quá trình một chương trình giải phóng bộ nhớ nhưng không xóa con trỏ đằng sau nó dẫn đến thực thi mã tùy ý, gây hỏng dữ liệu hoặc từ chối dịch vụ.
Hacker thường kết hợp lỗi use-after-free với một lỗ hổng khác để kiểm soát hệ thống bị ảnh hưởng. Trong Chrome, lỗ hổng use-after-free thường có thể bị khai thác để thoát khỏi sandbox của trình duyệt.
Chrome 103 giải quyết ba lỗ hổng use-after-free do các nhà nghiên cứu bên ngoài báo cáo, tác động đến các thành phần như nhóm Interest (CVE-2022-2157, mức độ nghiêm trọng cao), WebApp Provider (CVE-2022-2161, mức độ nghiêm trọng trung bình) và Cast UI và Toolbar (CVE-2022-2163, mức độ nghiêm trọng thấp).
Bản cập này cũng sửa lỗ hổng type confusion có mức độ nghiêm trọng trong V8 JavaScript và WebAssembly (CVE-2022-2158), cùng với 4 sự cố mức độ trung bình và thấp khác.
Google đã trả tổng cộng 44.000 đô la tiền thưởng lỗi cho các nhà nghiên cứu. Đồng thời khẳng định chưa có bằng chứng nào cho thấy các lỗ hổng này bị khai thác trong thực tế.
Người dùng Windows, Mac và Linux nên cập nhật lên phiên bản Chrome 103.0.5060.53 để tránh gặp rủi ro mà các lỗ hổng gây ra.
Theo: securityweek
Chỉnh sửa lần cuối bởi người điều hành: