WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Google vá lỗ hổng trình duyệt “nghiêm trọng”
Google đang hối thúc người dùng cập nhật trình duyệt Chrome trên desktop để tránh lỗ hổng tràn bộ đệm trên stack nghiêm trọng có tên CVE-2017-15396. Google đã đưa ra cảnh báo vào cuối tuần trước và cho biết bản cập nhật cho hầu hết các trình duyệt đã được phát hành.
Theo kỹ sư của Google Abdul Syed trong bài công bố lỗ hổng trên Chrome Release, "Bản ổn định dành cho Windows đã được cập nhật lên 62.0.3202.75 trong khi của Mac và Linux sẽ được tung ra trong những ngày/tuần sắp tới".
Google thông báo lỗi này có liên quan với engine mã nguồn mở JavaScript cho Chrome V8 với các hệ điều hành Windows 7 trở lên cũng như macOS 10.5 trở lên và các hệ thống Linux sử dụng bộ xử lý Intel Architecture 32-bit (i386), ARM hoặc MIPS.
Hãng không tiết lộ bất kỳ chi tiết nào về lỗ hổng này, "việc truy cập vào các link và chi tiết lỗi có thể bị giới hạn cho đến khi phần lớn người dùng đã cập nhật bản sửa lỗi. Chúng tôi cũng sẽ công bố các giới hạn nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án tương tự khác phụ thuộc vào, nhưng vẫn chưa được khắc phục. "Chrome V8 được viết bằng C++ và trong Node.js và có thể được nhúng vào bất kỳ ứng dụng C++ nào hoặc có thể chạy độc lập”, Google cho biết thêm.
Theo mô tả của tổ chức OWASP Foundation về lỗ hổng, loại lỗi này thường cho phép hacker thực thi mã tùy ý trong ứng dụng đã bị chọn làm mục tiêu tấn công. Việc khai thác lỗ hổng không thành công gây ra tình trạng từ chối dịch vụ,
Các nhà nghiên cứu tại công ty Risk Based Security sau khi phân tích đã nhận định lỗ hổng này nằm trong International Components for Unicode dành cho C/C++, một thư viện được V8 sử dụng. Lỗi code này không do phía Google gây ra và lỗ hổng trên đã được công bố vào ngày 11/10.
Lỗi này được báo cáo bởi nhà nghiên cứu Yu Zhou vào ngày 30/9 vừa qua. Google đã trao thưởng 3.000 USD cho Yu Zhou thông qua chương trình bug bounty của mình.
Theo kỹ sư của Google Abdul Syed trong bài công bố lỗ hổng trên Chrome Release, "Bản ổn định dành cho Windows đã được cập nhật lên 62.0.3202.75 trong khi của Mac và Linux sẽ được tung ra trong những ngày/tuần sắp tới".
Google thông báo lỗi này có liên quan với engine mã nguồn mở JavaScript cho Chrome V8 với các hệ điều hành Windows 7 trở lên cũng như macOS 10.5 trở lên và các hệ thống Linux sử dụng bộ xử lý Intel Architecture 32-bit (i386), ARM hoặc MIPS.
Hãng không tiết lộ bất kỳ chi tiết nào về lỗ hổng này, "việc truy cập vào các link và chi tiết lỗi có thể bị giới hạn cho đến khi phần lớn người dùng đã cập nhật bản sửa lỗi. Chúng tôi cũng sẽ công bố các giới hạn nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án tương tự khác phụ thuộc vào, nhưng vẫn chưa được khắc phục. "Chrome V8 được viết bằng C++ và trong Node.js và có thể được nhúng vào bất kỳ ứng dụng C++ nào hoặc có thể chạy độc lập”, Google cho biết thêm.
Theo mô tả của tổ chức OWASP Foundation về lỗ hổng, loại lỗi này thường cho phép hacker thực thi mã tùy ý trong ứng dụng đã bị chọn làm mục tiêu tấn công. Việc khai thác lỗ hổng không thành công gây ra tình trạng từ chối dịch vụ,
Các nhà nghiên cứu tại công ty Risk Based Security sau khi phân tích đã nhận định lỗ hổng này nằm trong International Components for Unicode dành cho C/C++, một thư viện được V8 sử dụng. Lỗi code này không do phía Google gây ra và lỗ hổng trên đã được công bố vào ngày 11/10.
Lỗi này được báo cáo bởi nhà nghiên cứu Yu Zhou vào ngày 30/9 vừa qua. Google đã trao thưởng 3.000 USD cho Yu Zhou thông qua chương trình bug bounty của mình.
Theo Threatpost
Chỉnh sửa lần cuối: