-
09/04/2020
-
85
-
556 bài viết
Google khẩn cấp tung bản cập nhật Chrome sửa lỗ hổng zero-day đang bị khai thác
Google đã phát hành Chrome 96.0.4664.110 cho Windows, Mac và Linux, để giải quyết lỗ hổng zero-day mức độ nghiêm trọng cao đang bị khai thác trong thực tế.
Ông lớn ngành công nghệ nói: "Google đã biết về các báo cáo rằng lỗ hổng CVE-2021-4102 đang bị khai thác”.
Mặc dù hãng cho biết có thể mất một thời gian để đến tay tất cả người dùng, nhưng bản cập nhật đã được đưa ra cùng Chrome 96.0.4664.110 trên toàn thế giới trong kênh Stable Desktop.
Khi kiểm tra các bản cập nhật mới từ menu Chrome> Trợ giúp> Giới thiệu về Google Chrome, trình duyệt sẽ tự động kiểm tra các bản cập nhật gần đây và tự động cập nhật sau lần khởi chạy tiếp theo.
Chi tiết khai thác Zero-day không được tiết lộ
Lỗi zero-day được vá có mã định danh là CVE-2021-4102, đã được báo cáo bởi một nhà nghiên cứu ẩn danh và là lỗi use-after-free trong công cụ JavaScript Chrome V8.
Những kẻ tấn công thường khai thác các lỗi use-after-free để thực thi mã tùy ý trên máy tính chạy phiên bản Chrome tồn tại lỗ hổng hoặc qua mặt cơ chế sandbox của trình duyệt.
Mặc dù Google cho biết đã phát hiện ra các cuộc tấn công lợi dụng zero-day này nhưng hãng từ chối chia sẻ thêm thông tin liên quan.
"Quyền truy cập vào chi tiết lỗi và liên kết có thể bị hạn chế cho đến khi phần lớn người dùng cập nhật bản sửa lỗi" Google nói thêm. "Chúng tôi cũng sẽ duy trì các hạn chế nếu lỗi tồn tại trong thư viện của bên thứ ba chưa được khắc phục”.
Cho đến khi Google công bố thông tin chi tiết về lỗ hổng, người dùng sẽ có đủ thời gian để nâng cấp Chrome và ngăn chặn các nỗ lực khai thác.
Với bản cập nhật này, Google đã giải quyết được 16 lỗ hổng zero-day trên Chrome kể từ đầu năm.
Danh sách 15 zero-day khác được vá bao gồm:
Ông lớn ngành công nghệ nói: "Google đã biết về các báo cáo rằng lỗ hổng CVE-2021-4102 đang bị khai thác”.
Mặc dù hãng cho biết có thể mất một thời gian để đến tay tất cả người dùng, nhưng bản cập nhật đã được đưa ra cùng Chrome 96.0.4664.110 trên toàn thế giới trong kênh Stable Desktop.
Khi kiểm tra các bản cập nhật mới từ menu Chrome> Trợ giúp> Giới thiệu về Google Chrome, trình duyệt sẽ tự động kiểm tra các bản cập nhật gần đây và tự động cập nhật sau lần khởi chạy tiếp theo.
Chi tiết khai thác Zero-day không được tiết lộ
Lỗi zero-day được vá có mã định danh là CVE-2021-4102, đã được báo cáo bởi một nhà nghiên cứu ẩn danh và là lỗi use-after-free trong công cụ JavaScript Chrome V8.
Những kẻ tấn công thường khai thác các lỗi use-after-free để thực thi mã tùy ý trên máy tính chạy phiên bản Chrome tồn tại lỗ hổng hoặc qua mặt cơ chế sandbox của trình duyệt.
Mặc dù Google cho biết đã phát hiện ra các cuộc tấn công lợi dụng zero-day này nhưng hãng từ chối chia sẻ thêm thông tin liên quan.
"Quyền truy cập vào chi tiết lỗi và liên kết có thể bị hạn chế cho đến khi phần lớn người dùng cập nhật bản sửa lỗi" Google nói thêm. "Chúng tôi cũng sẽ duy trì các hạn chế nếu lỗi tồn tại trong thư viện của bên thứ ba chưa được khắc phục”.
Cho đến khi Google công bố thông tin chi tiết về lỗ hổng, người dùng sẽ có đủ thời gian để nâng cấp Chrome và ngăn chặn các nỗ lực khai thác.
Với bản cập nhật này, Google đã giải quyết được 16 lỗ hổng zero-day trên Chrome kể từ đầu năm.
Danh sách 15 zero-day khác được vá bao gồm:
- CVE-2021-21148 - ngày 4 tháng 2
- CVE-2021-21166 - ngày 2 tháng 3
- CVE-2021-21193 - ngày 12 tháng 3
- CVE-2021-21220 - ngày 13 tháng 4
- CVE-2021-21224 - 20 tháng 4
- CVE-2021-30551 - ngày 9 tháng 6
- CVE-2021-30554 - 17 tháng 6
- CVE-2021-30563 - ngày 15 tháng 7
- CVE-2021-30632 và CVE-2021-30633 - ngày 13 tháng 9
- CVE-2021-37973 - ngày 24 tháng 9
- CVE-2021-37976 và CVE-2021-37975 - ngày 30 tháng 9
- CVE-2021-38000 và CVE-2021-38003 - ngày 28 tháng 10
Nguồn: Bleeping Computer