-
09/04/2020
-
85
-
553 bài viết
CVE-2022-4135: Lỗ hổng zero-day mới trong Google Chrome. Cập nhật ngay bản vá!
Google vừa tung bản vá khẩn cấp để giải quyết lỗ hổng CVE-2022-4135 đang bị khai thác trên thực tế trong trình duyệt Chrome.
Nhóm phân tích mối đe dọa của Google cho biết đây là lỗi tràn bộ đệm heap trong GPU và đã báo cáo lỗ hổng này vào ngày 22 tháng 11 năm 2022.
Lỗi tràn bộ đệm (Buffer overflow) thường dùng để thực thi mã tùy ý, các đoạn mã code tràn sẽ nằm ngoài phạm vi xử lý của chương trình. Đối với lỗi tràn bộ đệm heap được sử dụng để ghi đè lên các con trỏ hàm, tồn tại trong bộ nhớ và trỏ nó đến mã code vừa nạp vào của kẻ tấn công.
Heap Overflow cũng là một dạng lỗi tràn bộ đệm xảy ra khi một đoạn bộ nhớ được cấp phát cho heap và dữ liệu bị ghi vào mà không có bất kỳ kiểm tra nào.
Google không công bố cụ thể về các chi tiết kỹ thuật và đã phát hành bản cập nhật khẩn cấp để vá lỗ hổng này trong Google Chrome 107.0.5304.121 cho Mac/Linux và 107.0.5304.121/.122 cho Windows.
Người dùng Google Chrome có thể truy cập vào Cài đặt (Settings) để kiểm tra số phiên bản hiện tại và phiên bản mới nhất sẽ tự động cập nhật. Nếu triển khai gói cài đặt ngoại tuyến, người dùng cần tải xuống phiên bản mới theo cách thủ công.
Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên cập nhật khi các bản vá được tung ra.
Nhóm phân tích mối đe dọa của Google cho biết đây là lỗi tràn bộ đệm heap trong GPU và đã báo cáo lỗ hổng này vào ngày 22 tháng 11 năm 2022.
Lỗi tràn bộ đệm (Buffer overflow) thường dùng để thực thi mã tùy ý, các đoạn mã code tràn sẽ nằm ngoài phạm vi xử lý của chương trình. Đối với lỗi tràn bộ đệm heap được sử dụng để ghi đè lên các con trỏ hàm, tồn tại trong bộ nhớ và trỏ nó đến mã code vừa nạp vào của kẻ tấn công.
Heap Overflow cũng là một dạng lỗi tràn bộ đệm xảy ra khi một đoạn bộ nhớ được cấp phát cho heap và dữ liệu bị ghi vào mà không có bất kỳ kiểm tra nào.
Google không công bố cụ thể về các chi tiết kỹ thuật và đã phát hành bản cập nhật khẩn cấp để vá lỗ hổng này trong Google Chrome 107.0.5304.121 cho Mac/Linux và 107.0.5304.121/.122 cho Windows.
Người dùng Google Chrome có thể truy cập vào Cài đặt (Settings) để kiểm tra số phiên bản hiện tại và phiên bản mới nhất sẽ tự động cập nhật. Nếu triển khai gói cài đặt ngoại tuyến, người dùng cần tải xuống phiên bản mới theo cách thủ công.
Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên cập nhật khi các bản vá được tung ra.
Theo Securityonline
Chỉnh sửa lần cuối: