WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Cập nhật ngay phiên bản Chrome mới nhất để vá lỗ hổng 0-day đang bị khai thác trên thực tế
Google vừa phát hành bản cập nhật phần mềm nghiêm trọng mới cho trình duyệt web Chrome trên desktop.
Phiên bản Chrome 80.0.3987.122 mới nhất bao gồm các bản vá an ninh cho 3 lỗ hổng mới, tất cả đều được đánh giá ở mức nghiêm trọng 'CAO'. Trong đó, một lỗi (CVE-2020-6418) đã bị khai thác trên thực tế.
Các lỗ hổng Chrome có thể gây ra những rủi ro đáng kể cho các hệ thống của bạn nếu không được vá, bao gồm:
• Lỗ hổng tràn số nguyên (Integer overflow) trong ICU.
• Lỗ hổng trích xuất dữ liệu ngoài vùng bộ nhớ (Out of bounds memory access) (CVE-2020-6407).
• Lỗ hổng nhầm loại (Type confusion) trong V8 (CVE-2020-6418).
Google cho hay lỗ hổng CVE-2020-6418, xuất phát từ lỗi nhầm lẫn loại trong công cụ kết xuất JavaScript V8, đang bị khai thác trên thực tế dù chưa có nhiều thông tin kỹ thuật về lỗ hổng được công bố.
Google không tiết lộ thêm chi tiết về các lỗ hổng để những người dùng bị ảnh hưởng có đủ thời gian cài đặt bản cập nhật Chrome và ngăn chặn bị khai thác.
Khai thác thành công lỗi tràn số nguyên hoặc lỗi trích xuất dữ liệu ngoài vùng bộ nhớ có thể cho phép kẻ tấn công từ xa xâm nhập một hệ thống tồn tại lỗ hổng bằng cách lừa người dùng truy cập vào một trang web đặc biệt, lợi dụng khai thác để thực thi mã tùy ý trên hệ thống đích.
Google khuyến cáo người dùng Windows, Linux và macOS tải và cài đặt phiên bản Chrome mới nhất bằng cách truy cập Trợ giúp> Giới thiệu về Chrome (Help > About Chrome) từ menu cài đặt.
Phiên bản Chrome 80.0.3987.122 mới nhất bao gồm các bản vá an ninh cho 3 lỗ hổng mới, tất cả đều được đánh giá ở mức nghiêm trọng 'CAO'. Trong đó, một lỗi (CVE-2020-6418) đã bị khai thác trên thực tế.
• Lỗ hổng tràn số nguyên (Integer overflow) trong ICU.
• Lỗ hổng trích xuất dữ liệu ngoài vùng bộ nhớ (Out of bounds memory access) (CVE-2020-6407).
• Lỗ hổng nhầm loại (Type confusion) trong V8 (CVE-2020-6418).
Google cho hay lỗ hổng CVE-2020-6418, xuất phát từ lỗi nhầm lẫn loại trong công cụ kết xuất JavaScript V8, đang bị khai thác trên thực tế dù chưa có nhiều thông tin kỹ thuật về lỗ hổng được công bố.
Google không tiết lộ thêm chi tiết về các lỗ hổng để những người dùng bị ảnh hưởng có đủ thời gian cài đặt bản cập nhật Chrome và ngăn chặn bị khai thác.
Khai thác thành công lỗi tràn số nguyên hoặc lỗi trích xuất dữ liệu ngoài vùng bộ nhớ có thể cho phép kẻ tấn công từ xa xâm nhập một hệ thống tồn tại lỗ hổng bằng cách lừa người dùng truy cập vào một trang web đặc biệt, lợi dụng khai thác để thực thi mã tùy ý trên hệ thống đích.
Google khuyến cáo người dùng Windows, Linux và macOS tải và cài đặt phiên bản Chrome mới nhất bằng cách truy cập Trợ giúp> Giới thiệu về Chrome (Help > About Chrome) từ menu cài đặt.
Nguồn: The Hacker News