Cập nhật ngay trình duyệt Chrome để vá lỗ hổng CVE-2021-21224 đang bị khai thác

sImplePerson

sImplePerson

Member
23/03/2020
11
28 bài viết
Cập nhật ngay trình duyệt Chrome để vá lỗ hổng CVE-2021-21224 đang bị khai thác
sImplePerson
chrome-update.jpg
Google vừa phát hành bản cập nhật cho trình duyệt web Chrome trên các hệ điều hành Windows, Mac và Linux, với 7 bản vá lỗ hổng bảo mật, trong đó có 1 lỗ hổng đang bị khai thác trong thực tế.
Lỗ hổng được định danh là CVE-2021-21224, liên quan đến type confusion (nhầm loại) trong engine JavaScript mã nguồn mở V8. Lỗ hổng đã được chuyên gia bảo mật Jose Martinez báo cáo tới Google vào ngày 5/4.
Theo chuyên gia Lei Cao, lỗi [1195777] xảy ra khi thực hiện chuyển đổi kiểu dữ liệu số nguyên, dẫn đến điều kiện nằm ngoài giới hạn, lỗ hổng có thể dẫn đến khả năng đọc/ghi bộ nhớ tùy ý.
"Google đã nhận được các báo cáo về việc khai thác lỗ hổng CVE-2021-21224 trong thực tế", Srinivas Sista, Giám đốc chương trình kỹ thuật của Chrome cho biết.
chrome-code.jpg
Bản cập nhật được đưa ra sau khi mã khai thác lỗ hổng (PoC) trên được một nhà nghiên cứu có tên là "frust" công bố vào ngày 14/4, thông qua việc lợi dụng lỗi "type confusion" đã được xử lý trong mã nguồn V8 nhưng các bản vá đã không được tích hợp vào nhân Chromium và tất cả các trình duyệt dựa trên nó như Chrome, Microsoft Edge, Brave, Vivaldi và Opera.

Cần lưu ý rằng Google đã giảm một nửa "khoảng thời gian vá lỗi", trung bình từ 33 ngày trong Chrome76 xuống còn 15 ngày trong Chrome78, được phát hành vào tháng 10/2019, do đó các bản sửa lỗi bảo mật nghiêm trọng sẽ được cập nhật hai tuần một lần.

Tuy nhiên khoảng cách vá lỗi kéo dài một tuần dẫn đến việc các trình duyệt đứng trước nguy cơ bị tấn công cho đến khi các bản vá trong kho mã nguồn mở được phát hành dưới dạng bản cập nhật ổn định.
Các bản sửa lỗi mới nhất cũng xuất hiện ngay sau bản cập nhật được Google tung ra vào tuần trước với các bản vá cho hai lỗ hổng bảo mật CVE-2021-21206 và CVE-2021-21220 đã được chứng minh tại cuộc thi Pwn2Own 2021 trước đó..

Chrome 90.0.4430.85 dự kiến sẽ ra mắt trong những ngày tới. Người dùng có thể cập nhật lên phiên bản mới nhất bằng cách vào Settings > Help > About Google Chrome để giảm thiểu rủi ro liên quan đến lỗ hổng.

 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng nghiêm trọng trong Spring Framework cho phép đánh cắp thông tin người dùng
  • Phát hiện các lỗ hổng cho phép truy cập root trong Smart TV của LG
  • Microsoft vá lỗi trong Outlook do bản cập nhật tháng 12 gây ra
  • Lỗ hổng nghiêm trọng trong plugin LayerSlider cho phép đánh cắp thông tin nhạy cảm
  • Cập nhật Firefox ngay! Lỗ hổng CVE-2024-2615 có thể cho phép tấn công zero-click
  • Cập nhật mới của Windows Server khiến bộ điều khiển miền bị treo và khởi động lại
    • Bên trên