WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
An ninh mạng tháng 10/2021:Tháng 'Halloween' kỳ bí của Google Chrome
Khi cả thế giới hóa trang thành các nhân vật kỳ dị cùng nhau “Trick and Treat” đêm Halloween, thì Google Chrome cũng khép lại một tháng 10 “kỳ bí” với 4 lỗ hổng zero-day và nhiều lỗi nghiêm trọng được công bố, nâng tổng số lỗi zero-day trên trình duyệt Chrome từ đầu năm 2021 lên con số 15. Thật khó có thể giải thích tại sao thời gian qua Google Chrome lại có số lượng lỗ hổng nhiều đến vậy.
Đêm cuối cùng tháng 9, Chrome đã “Trick or Treat” người dùng với việc công bố bản vá cho 2 lỗ hổng zero-day (CVE-2021-37975 và CVE-2021-37976) mà hãng thông báo đang bị khai thác. Zero-day CVE-2021-37976 được mô tả làm rò rỉ thông tin trong “Core” lỗ hổng, được chỉ định ở mức Medium. Tiếp đến là zero-day CVE-2021-37975 lỗi “use-after-free” trong công cụ V8 JavaScript, lỗ hổng có thể thực thi mã tùy ý trên máy nạn nhân.
Tháng “Halloween” kỳ bí của Google Chrome
Một tuần sau đó, phiên bản Chrome 94.0.4606.81 được phát hành tiếp tục khắc phục 4 lỗ hổng của trình duyệt. Nghiêm trọng nhất là CVE-2021-37977, lỗi “use-after-free” trong Garbage Collection, có nguy cơ bị khai thác để thực thi mã trên hệ thống bị tấn công. Google đã trả tới 10.000 USD cho người phát hiện lỗ hổng này. CVE-2021-37978 và CVE-2021-379792 là 2 lỗ hổng “heap buffer overflow” trong Blink và WebRTC cũng đã giúp 2 nhà nghiên cứu của 360 ATA và Cisco Talos nhận về 7.500 USD. Bênh cạnh đó, lỗ hổng do triển khai Sandbox không phù hợp (CVE-2021-37980) cũng được Google cập nhật trong phiên bản này.
Một ngày trước đêm Halloween, Google tiếp tục “Trick or Treat” người dùng bằng việc tung bản vá khẩn cấp cho 2 lỗ hổng zero-day trên trình duyệt Chrome. CVE-2021-38000 bắt nguồn từ quá trình kiểm soát không chặt chẽ dữ liệu đầu vào trong tính năng có tên Intents, còn CVE-2021-38003 được mô tả là do triển khai không phù hợp trong V8 JavaScript và công cụ WebAssembly.
Như vậy, tính từ đầu năm đến nay Google đã giải quyết tổng cộng 15 lỗi zero-day trong trình duyệt Chrome, gần nửa trong số đó được hãng công bố vào cuối tháng 9 và tháng 10. Lý do thực sự thì chỉ có Google biết, khó ai đoán được tại sao Google Chrome lại phải phát hành nhiều phiên bản vá lỗi “như ma làm” đến vậy trong khoảng thời gian này.
Cũng có thể suy đoán rằng với tỷ lệ chiếm tới 60-70% thị phần sử dụng trình duyệt web trên toàn cầu, cùng ngân khố khổng lồ cho các chương trình BugBouty, Chrome luôn là mục tiêu thu hút số lượng lớn các hacker cả mũ đen và mũ trắng. Bỏ qua “yếu tố tâm linh” liên quan đến Halloween, thì đây có lẽ là câu trả lời có lý nhất cho “sự kỳ bí” của Google Chrome trong tháng 10.
Thật may khi các thông tin liên quan đến cách thức khai thác các lỗ hổng zero-day đều sẽ không được công bố cho đến khi người dùng cập nhật bản vá. Bởi vậy, dù Halloween đã trôi qua, nhưng người dùng cũng cần nhanh chóng cập nhật phiên bản mới nhất cho Chrome để giảm thiểu rủi ro từ các lỗ hổng mang lại.
Đêm cuối cùng tháng 9, Chrome đã “Trick or Treat” người dùng với việc công bố bản vá cho 2 lỗ hổng zero-day (CVE-2021-37975 và CVE-2021-37976) mà hãng thông báo đang bị khai thác. Zero-day CVE-2021-37976 được mô tả làm rò rỉ thông tin trong “Core” lỗ hổng, được chỉ định ở mức Medium. Tiếp đến là zero-day CVE-2021-37975 lỗi “use-after-free” trong công cụ V8 JavaScript, lỗ hổng có thể thực thi mã tùy ý trên máy nạn nhân.
Tháng “Halloween” kỳ bí của Google Chrome
Một ngày trước đêm Halloween, Google tiếp tục “Trick or Treat” người dùng bằng việc tung bản vá khẩn cấp cho 2 lỗ hổng zero-day trên trình duyệt Chrome. CVE-2021-38000 bắt nguồn từ quá trình kiểm soát không chặt chẽ dữ liệu đầu vào trong tính năng có tên Intents, còn CVE-2021-38003 được mô tả là do triển khai không phù hợp trong V8 JavaScript và công cụ WebAssembly.
Như vậy, tính từ đầu năm đến nay Google đã giải quyết tổng cộng 15 lỗi zero-day trong trình duyệt Chrome, gần nửa trong số đó được hãng công bố vào cuối tháng 9 và tháng 10. Lý do thực sự thì chỉ có Google biết, khó ai đoán được tại sao Google Chrome lại phải phát hành nhiều phiên bản vá lỗi “như ma làm” đến vậy trong khoảng thời gian này.
Cũng có thể suy đoán rằng với tỷ lệ chiếm tới 60-70% thị phần sử dụng trình duyệt web trên toàn cầu, cùng ngân khố khổng lồ cho các chương trình BugBouty, Chrome luôn là mục tiêu thu hút số lượng lớn các hacker cả mũ đen và mũ trắng. Bỏ qua “yếu tố tâm linh” liên quan đến Halloween, thì đây có lẽ là câu trả lời có lý nhất cho “sự kỳ bí” của Google Chrome trong tháng 10.
Thật may khi các thông tin liên quan đến cách thức khai thác các lỗ hổng zero-day đều sẽ không được công bố cho đến khi người dùng cập nhật bản vá. Bởi vậy, dù Halloween đã trôi qua, nhưng người dùng cũng cần nhanh chóng cập nhật phiên bản mới nhất cho Chrome để giảm thiểu rủi ro từ các lỗ hổng mang lại.
WhiteHat
Chỉnh sửa lần cuối bởi người điều hành:
