-
09/04/2020
-
93
-
600 bài viết
Google vá lỗ hổng CVE-2022-2294 mới bị khai thác trong Chrome
Google đã phát hành Chrome 103.0.5060.114 cho người dùng Windows để vá lỗ hổng mới được đánh giá có rủi ro cao và đang bị khai thác trong thực tế. Đây là lỗ hổng zero-day thứ 4 trong Chrome được phát hiện trong năm 2022.
Lỗ hổng có mã định danh là CVE-2022-2294. Chrome 103.0.5060.114 đang được phát hành trên toàn thế giới trong kênh Stable Desktop. Google cho biết việc cập nhật phiên bản mới cho toàn bộ người dùng sẽ chỉ còn là vấn đề về thời gian.
Người dùng có thể kiểm tra bản cập nhật có sẵn bằng cách chọn Chrome menu > Help > About Google Chrome. Trình duyệt Chrome cũng sẽ tự động kiểm tra bản cập nhật và cài đặt phiên bản này cho lần chạy tiếp theo.
Khi bị khai thác thành công, lỗ hổng có thể khiến chương trình bị crash và thực thi mã để qua mặt giải pháp an ninh. Mặc dù Google đã xác nhận zero-day này đã bị khai thác trong thực tế nhưng chưa hề chia sẻ chi tiết về cách tấn công hay bất kì thông tin gì liên quan nào.
Hãng cho biết: “Chi tiết lỗ hổng sẽ bị hạn chế cho đến khi bản vá được cập nhật đến phần lớn người dùng”. “Chúng tôi cũng sẽ không công bố chi tiết về lỗ hổng nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác phụ thuộc vào chưa được khắc phục”.
Dù không biết rõ về chi tiết lỗ hổng, người dùng Chrome vẫn có thể cập nhật và giảm thiểu việc bị khai thác cho đến khi Google cung cấp bản vá chi tiết.
Lỗ hổng bị lợi dụng bởi hai nhóm tấn công do Triều Tiên hậu thuẫn trong các chiến dịch lây nhiễm phần mềm độc hại thông qua email lừa đảo bằng cách sử dụng chiêu trò giả mạo và xâm nhập các trang web lưu trữ iframe ẩn để phục vụ bộ công cụ khai thác.
Người dùng được khuyến cáo nên nhanh chóng cập nhật Chrome để tránh trở thành nạn nhân của các cuộc tấn công.
Lỗ hổng có mã định danh là CVE-2022-2294. Chrome 103.0.5060.114 đang được phát hành trên toàn thế giới trong kênh Stable Desktop. Google cho biết việc cập nhật phiên bản mới cho toàn bộ người dùng sẽ chỉ còn là vấn đề về thời gian.
Người dùng có thể kiểm tra bản cập nhật có sẵn bằng cách chọn Chrome menu > Help > About Google Chrome. Trình duyệt Chrome cũng sẽ tự động kiểm tra bản cập nhật và cài đặt phiên bản này cho lần chạy tiếp theo.
Chi tiết về cuộc tấn công chưa được công bố
Cụ thể, lỗ hổng zero-day được vá (CVE-2022-2294) là lỗi tràn bộ đệm heap-based trong WebRTC. Lỗ hổng được báo cáo bởi Jan Voejtesek vào ngày 1 tháng 7.Khi bị khai thác thành công, lỗ hổng có thể khiến chương trình bị crash và thực thi mã để qua mặt giải pháp an ninh. Mặc dù Google đã xác nhận zero-day này đã bị khai thác trong thực tế nhưng chưa hề chia sẻ chi tiết về cách tấn công hay bất kì thông tin gì liên quan nào.
Hãng cho biết: “Chi tiết lỗ hổng sẽ bị hạn chế cho đến khi bản vá được cập nhật đến phần lớn người dùng”. “Chúng tôi cũng sẽ không công bố chi tiết về lỗ hổng nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác phụ thuộc vào chưa được khắc phục”.
Dù không biết rõ về chi tiết lỗ hổng, người dùng Chrome vẫn có thể cập nhật và giảm thiểu việc bị khai thác cho đến khi Google cung cấp bản vá chi tiết.
Lỗ hổng zero-day thứ 4 trong năm nay của Chrome
Google đã vá 4 lỗ hổng zero-day trong Chrome kể từ đầu năm đến nay. 3 lỗ hổng zero-day trước đó được tìm thấy và đã được vá là:- CVE-2022-1364 - Ngày 14 tháng 4
- CVE-2022-1096 - Ngày 23 tháng 3
- CVE-2022-0609 - Ngày 14 tháng 2
Lỗ hổng bị lợi dụng bởi hai nhóm tấn công do Triều Tiên hậu thuẫn trong các chiến dịch lây nhiễm phần mềm độc hại thông qua email lừa đảo bằng cách sử dụng chiêu trò giả mạo và xâm nhập các trang web lưu trữ iframe ẩn để phục vụ bộ công cụ khai thác.
Người dùng được khuyến cáo nên nhanh chóng cập nhật Chrome để tránh trở thành nạn nhân của các cuộc tấn công.
Theo Bleeping Computer
Chỉnh sửa lần cuối bởi người điều hành: