-
06/07/2013
-
797
-
1.304 bài viết
Cập nhật đi chờ chi: Chrome 108 vá nhiều lỗ hổng nguy hiểm
Google tuần này đã phát hành bản cập nhật cho trình duyệt Chrome vá 8 lỗ hổng, bao gồm 5 lỗ hổng được báo cáo bởi các nhà nghiên cứu bên ngoài.
5 lỗ hổng được xác định là use-after-free, một loại lỗ hổng liên quan an toàn bộ nhớ phổ biến trong Chrome trong những năm qua và Google đã nỗ lực để loại bỏ trong một thời gian dài.
Theo khuyến nghị của Google, 4 trong số những lỗ hổng này có mức độ nghiêm trọng cao, ảnh hưởng đến các thành phần như Blink Media, Mojo IPC, Blink Frames và Aura.
Các lỗ hổng đã được cấp mã định danh CVE CVE-2022-4436 đến CVE-2022-4440.
Google cho biết họ đã trả 17.500 đô la tiền thưởng cho các nhà nghiên cứu báo cáo lỗ hổng, nhưng số tiền cuối cùng có thể cao hơn, vì chỉ có 4 trong số 5 số tiền thưởng được tiết lộ.
Bản phát hành trình duyệt Chrome mới nhất hiện đang được tung ra cho người dùng Mac và Linux với phiên bản 108.0.5359.124 và cho người dùng Windows với phiên bản 108.0.5359.124/.125.
Google không đề cập đến bất kỳ lỗ hổng nào trong số này bị khai thác trong các cuộc tấn công. Cho đến nay, đã có 9 lỗ hổng zero-day trên Chrome được ghi nhận vào năm 2022.
Kẻ tấn công có thể khai thác lỗ hổng use-after-free để crash ứng dụng, làm hỏng dữ liệu hoặc thực thi mã tùy ý trên máy. Trong Chrome, các lỗi use-after-free có thể được sử dụng kết hợp các lỗ hổng khác để vượt qua cơ chế sandbox của trình duyệt.
Trong vài năm qua, Google cho thấy một số nỗ lực nhằm loại bỏ các lỗ hổng liên quan an toàn bộ nhớ trong cả Android và Chrome, đồng thời gần đây họ cũng đã công bố các biện pháp bảo vệ được cải thiện để chống lại việc khai thác các lỗ hổng đó.
5 lỗ hổng được xác định là use-after-free, một loại lỗ hổng liên quan an toàn bộ nhớ phổ biến trong Chrome trong những năm qua và Google đã nỗ lực để loại bỏ trong một thời gian dài.
Theo khuyến nghị của Google, 4 trong số những lỗ hổng này có mức độ nghiêm trọng cao, ảnh hưởng đến các thành phần như Blink Media, Mojo IPC, Blink Frames và Aura.
Các lỗ hổng đã được cấp mã định danh CVE CVE-2022-4436 đến CVE-2022-4440.
Google cho biết họ đã trả 17.500 đô la tiền thưởng cho các nhà nghiên cứu báo cáo lỗ hổng, nhưng số tiền cuối cùng có thể cao hơn, vì chỉ có 4 trong số 5 số tiền thưởng được tiết lộ.
Bản phát hành trình duyệt Chrome mới nhất hiện đang được tung ra cho người dùng Mac và Linux với phiên bản 108.0.5359.124 và cho người dùng Windows với phiên bản 108.0.5359.124/.125.
Google không đề cập đến bất kỳ lỗ hổng nào trong số này bị khai thác trong các cuộc tấn công. Cho đến nay, đã có 9 lỗ hổng zero-day trên Chrome được ghi nhận vào năm 2022.
Kẻ tấn công có thể khai thác lỗ hổng use-after-free để crash ứng dụng, làm hỏng dữ liệu hoặc thực thi mã tùy ý trên máy. Trong Chrome, các lỗi use-after-free có thể được sử dụng kết hợp các lỗ hổng khác để vượt qua cơ chế sandbox của trình duyệt.
Trong vài năm qua, Google cho thấy một số nỗ lực nhằm loại bỏ các lỗ hổng liên quan an toàn bộ nhớ trong cả Android và Chrome, đồng thời gần đây họ cũng đã công bố các biện pháp bảo vệ được cải thiện để chống lại việc khai thác các lỗ hổng đó.
Nguồn: Securityweek
Chỉnh sửa lần cuối bởi người điều hành: