DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Google phát hành phiên bản Chrome 102 vá 32 lỗ hổng
Gần đây, Google phát hành phiên bản Chrome 102 để vá 32 lỗ hổng an ninh, bao gồm một lỗ hổng nghiêm trọng do một nhà nghiên cứu ẩn danh báo cáo.
Lỗ hổng có mã định danh CVE-2022-1853 là một lỗi use-after-free ảnh hưởng đến Indexed DB. Nhà nghiên cứu ẩn danh đã báo cáo cho Google vào ngày 12 tháng 5 và công ty vẫn chưa quyết định mức tiền thưởng cho lỗ hổng này.
Chrome 102 cũng giải quyết 8 lỗ hổng mức độ nghiêm trọng cao do các nhà nghiên cứu bên ngoài báo cáo. Trong đó, CVE-2022-1854 là lỗ hổng use-after-free ảnh hướng đến thành phần ANGLE của trình duyệt nhận được mức thưởng cao nhất (10,000 đô la). Lỗi được báo cáo bởi nhà nghiên cứu SeongHwan Park.
Các lỗ hổng use-after-free có thể bị khai thác để làm hỏng dữ liệu, tấn công DoS hoặc thực thi mã tùy ý. Trong trình duyệt Chrome, lỗi này cũng có thể cho phép kẻ tấn công thoát khỏi hộp cát (sandbox) của trình duyệt khi được kết hợp với một lỗ hổng khác.
Ngoài ra, 2 lỗ hổng use-after-free tồn tại trong thành phần Messaging (CVE-2022-1855) và User Education (CVE-2022-1856) cũng được trao mức tiền thưởng tương ứng là 7.500 đô la và 3.000 đô la.
Các lỗ hổng còn lại được đánh giá ở mức độ trung bình và thấp. Tuy nhiên, khá bất ngờ với số tiền thưởng 7.000 đô la cho một lỗ hổng có mức độ nghiêm trọng thấp, và 5.000 đô la cho một lỗ hổng có mức độ nghiêm trọng trung bình.
Không có bằng chứng nào cho thấy các lỗ hổng này đã bị tin tặc khai thác trong thực tế, nhưng Google khuyên người dùng nên cập nhật phiên bản Chrome 102 sớm nhất có thể.
Lỗ hổng có mã định danh CVE-2022-1853 là một lỗi use-after-free ảnh hưởng đến Indexed DB. Nhà nghiên cứu ẩn danh đã báo cáo cho Google vào ngày 12 tháng 5 và công ty vẫn chưa quyết định mức tiền thưởng cho lỗ hổng này.
Chrome 102 cũng giải quyết 8 lỗ hổng mức độ nghiêm trọng cao do các nhà nghiên cứu bên ngoài báo cáo. Trong đó, CVE-2022-1854 là lỗ hổng use-after-free ảnh hướng đến thành phần ANGLE của trình duyệt nhận được mức thưởng cao nhất (10,000 đô la). Lỗi được báo cáo bởi nhà nghiên cứu SeongHwan Park.
Ngoài ra, 2 lỗ hổng use-after-free tồn tại trong thành phần Messaging (CVE-2022-1855) và User Education (CVE-2022-1856) cũng được trao mức tiền thưởng tương ứng là 7.500 đô la và 3.000 đô la.
Các lỗ hổng còn lại được đánh giá ở mức độ trung bình và thấp. Tuy nhiên, khá bất ngờ với số tiền thưởng 7.000 đô la cho một lỗ hổng có mức độ nghiêm trọng thấp, và 5.000 đô la cho một lỗ hổng có mức độ nghiêm trọng trung bình.
Không có bằng chứng nào cho thấy các lỗ hổng này đã bị tin tặc khai thác trong thực tế, nhưng Google khuyên người dùng nên cập nhật phiên bản Chrome 102 sớm nhất có thể.
Theo: securityweek
Chỉnh sửa lần cuối bởi người điều hành: