Cập nhật ngay trình duyệt Chrome để vá lỗ hổng CVE-2021-21224 đang bị khai thác

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi sImplePerson, 22/04/21, 10:04 AM.

  1. sImplePerson

    sImplePerson Moderator Thành viên BQT

    Tham gia: 23/03/20, 05:03 PM
    Bài viết: 21
    Đã được thích: 10
    Điểm thành tích:
    3
    chrome-update.jpg
    Google vừa phát hành bản cập nhật cho trình duyệt web Chrome trên các hệ điều hành Windows, Mac và Linux, với 7 bản vá lỗ hổng bảo mật, trong đó có 1 lỗ hổng đang bị khai thác trong thực tế.
    Lỗ hổng được định danh là CVE-2021-21224, liên quan đến type confusion (nhầm loại) trong engine JavaScript mã nguồn mở V8. Lỗ hổng đã được chuyên gia bảo mật Jose Martinez báo cáo tới Google vào ngày 5/4.
    Theo chuyên gia Lei Cao, lỗi [1195777] xảy ra khi thực hiện chuyển đổi kiểu dữ liệu số nguyên, dẫn đến điều kiện nằm ngoài giới hạn, lỗ hổng có thể dẫn đến khả năng đọc/ghi bộ nhớ tùy ý.
    "Google đã nhận được các báo cáo về việc khai thác lỗ hổng CVE-2021-21224 trong thực tế", Srinivas Sista, Giám đốc chương trình kỹ thuật của Chrome cho biết.
    chrome-code.jpg
    Bản cập nhật được đưa ra sau khi mã khai thác lỗ hổng (PoC) trên được một nhà nghiên cứu có tên là "frust" công bố vào ngày 14/4, thông qua việc lợi dụng lỗi "type confusion" đã được xử lý trong mã nguồn V8 nhưng các bản vá đã không được tích hợp vào nhân Chromium và tất cả các trình duyệt dựa trên nó như Chrome, Microsoft Edge, Brave, Vivaldi và Opera.

    Cần lưu ý rằng Google đã giảm một nửa "khoảng thời gian vá lỗi", trung bình từ 33 ngày trong Chrome76 xuống còn 15 ngày trong Chrome78, được phát hành vào tháng 10/2019, do đó các bản sửa lỗi bảo mật nghiêm trọng sẽ được cập nhật hai tuần một lần.

    Tuy nhiên khoảng cách vá lỗi kéo dài một tuần dẫn đến việc các trình duyệt đứng trước nguy cơ bị tấn công cho đến khi các bản vá trong kho mã nguồn mở được phát hành dưới dạng bản cập nhật ổn định.

    Các bản sửa lỗi mới nhất cũng xuất hiện ngay sau bản cập nhật được Google tung ra vào tuần trước với các bản vá cho hai lỗ hổng bảo mật CVE-2021-21206 và CVE-2021-21220 đã được chứng minh tại cuộc thi Pwn2Own 2021 trước đó..

    Chrome 90.0.4430.85 dự kiến sẽ ra mắt trong những ngày tới. Người dùng có thể cập nhật lên phiên bản mới nhất bằng cách vào Settings > Help > About Google Chrome để giảm thiểu rủi ro liên quan đến lỗ hổng.

     
    Chỉnh sửa cuối: 22/04/21, 03:04 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan