WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Google vá lỗ hổng zero-day thứ năm trong Chrome kể từ đầu năm
Google vừa phát hành các bản vá cho trình duyệt Chrome để ngăn chặn lỗ hổng zero-day nghiêm trọng đang bị khai thác.
Lỗ hổng zero-day (CVE-2022-2856) tồn tại do xác thực không đầy đủ thông tin đầu vào không đáng tin cậy trong Intents. Lỗi được ghi nhận vào ngày 19 tháng 7 năm 2022.
Như thường lệ, Google hạn chế chia sẻ thông tin chi tiết về lỗ hổng cho đến khi phần lớn người dùng được cập nhật, tuy nhiên thừa nhận việc lỗ hổng đang bị khai thác trong thực tế.
Bản cập nhật mới nhất cũng giải quyết 10 lỗi an ninh khác, hầu hết liên quan đến lỗi use-after-free trong các thành phần khác nhau như FedCM, SwiftShader, ANGLE và Blink... và một lỗi tràn bộ đệm heap trong Downloads.
Như vậy, CVE-2022-2856 là lỗ hổng zero-day thứ năm trong Chrome mà Google đã giải quyết kể từ đầu năm. Các lỗi zero-day trước đó bao gồm:
• CVE-2022-0609 – Lỗi use-after-free trong Animation
• CVE-2022-1096 – Lỗi type confusion trong V8
• CVE-2022-1364 - Lỗi type confusion trong V8
• CVE-2022-2294 – Lỗi tràn bộ đệm heap trong WebRTC
Người dùng nên cập nhật lên phiên bản 104.0.5112.101 cho macOS và Linux và 104.0.5112.102/101 cho Windows để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng bản sửa lỗi ngay khi có bản vá.
Lỗ hổng zero-day (CVE-2022-2856) tồn tại do xác thực không đầy đủ thông tin đầu vào không đáng tin cậy trong Intents. Lỗi được ghi nhận vào ngày 19 tháng 7 năm 2022.
Như thường lệ, Google hạn chế chia sẻ thông tin chi tiết về lỗ hổng cho đến khi phần lớn người dùng được cập nhật, tuy nhiên thừa nhận việc lỗ hổng đang bị khai thác trong thực tế.
Bản cập nhật mới nhất cũng giải quyết 10 lỗi an ninh khác, hầu hết liên quan đến lỗi use-after-free trong các thành phần khác nhau như FedCM, SwiftShader, ANGLE và Blink... và một lỗi tràn bộ đệm heap trong Downloads.
Như vậy, CVE-2022-2856 là lỗ hổng zero-day thứ năm trong Chrome mà Google đã giải quyết kể từ đầu năm. Các lỗi zero-day trước đó bao gồm:
• CVE-2022-0609 – Lỗi use-after-free trong Animation
• CVE-2022-1096 – Lỗi type confusion trong V8
• CVE-2022-1364 - Lỗi type confusion trong V8
• CVE-2022-2294 – Lỗi tràn bộ đệm heap trong WebRTC
Người dùng nên cập nhật lên phiên bản 104.0.5112.101 cho macOS và Linux và 104.0.5112.102/101 cho Windows để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng bản sửa lỗi ngay khi có bản vá.
Theo The Hacker News