WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Google tung bản vá cho lỗ hổng nghiêm trọng trên Chrome và tạm dừng các cập nhật mới
Tuần này, Google đã tung ra bản cập nhật giải quyết nhiều lỗ hổng nghiêm trọng trong Chrome, đồng thời cũng thông báo tạm dừng các bản cập nhật sắp tới của trình duyệt.
Việc tạm dừng cập nhật bản vá là do việc điều chỉnh lịch trình làm việc trong bối cảnh dịch COVID-19 diễn biến phức tạp và ảnh hưởng đến cả bản phát hành Chrome và Chrome OS.
“Mục tiêu chính của chúng tôi là đảm bảo sản phẩm tiếp tục ổn định, an toàn và hoạt động tin cậy cho bất cứ người dùng nào. Chúng tôi sẽ tiếp tục ưu tiên các bản cập nhật liên quan đến bảo mật được đưa vào Chrome 80”, hãng cho biết.
Tổng cộng có 13 bản sửa lỗi bảo mật trong lần update mới nhất cho Chrome, bao gồm 9 lỗi được các nhà nghiên cứu không thuộc Google phát hiện.
Nghiêm trọng nhất là lỗi use-after-free (cho phép kẻ xấu tấn công sau khi người dùng tương tác với phần mềm độc hại) trong WebGL được David Manouchehri phát hiện. Google đã trả phần thưởng tiền thưởng trị giá 8.500 USD cho nhà nghiên cứu này.
Hai lỗ hổng được phát hiện bởi Sergei Glazunov của nhóm Google Project Zero là CVE-2020-6424 và CVE-2020-6425 đều là các lỗi use-after-free của thành phần media.
Một nhà nghiên cứu khác của Google Project Zero, Natalie Silvanovich, đã tìm thấy một lỗi đọc ngoại vi (out-of-bounds) trong usersctplib là CVE-2019-20503.
Bốn trong số các lỗ hổng còn lại được tìm thấy bởi Man Yue Mo thuộc nhóm nghiên cứu bảo mật Semmle. Cả bốn đều là lỗi “use-after-free” trong audio.
Lỗ hổng cuối cùng (CVE-2020-6426) được Google mô tả là một phát triển không phù hợp trong V8. Lỗ hổng được Avihay Cohen của SeraphicAlacticms tìm thấy.
Hiện, Google vẫn chưa tiết lộ số tiền được trao cho năm lỗ hổng cuối cùng.
Việc tạm dừng cập nhật bản vá là do việc điều chỉnh lịch trình làm việc trong bối cảnh dịch COVID-19 diễn biến phức tạp và ảnh hưởng đến cả bản phát hành Chrome và Chrome OS.
Tổng cộng có 13 bản sửa lỗi bảo mật trong lần update mới nhất cho Chrome, bao gồm 9 lỗi được các nhà nghiên cứu không thuộc Google phát hiện.
Nghiêm trọng nhất là lỗi use-after-free (cho phép kẻ xấu tấn công sau khi người dùng tương tác với phần mềm độc hại) trong WebGL được David Manouchehri phát hiện. Google đã trả phần thưởng tiền thưởng trị giá 8.500 USD cho nhà nghiên cứu này.
Hai lỗ hổng được phát hiện bởi Sergei Glazunov của nhóm Google Project Zero là CVE-2020-6424 và CVE-2020-6425 đều là các lỗi use-after-free của thành phần media.
Một nhà nghiên cứu khác của Google Project Zero, Natalie Silvanovich, đã tìm thấy một lỗi đọc ngoại vi (out-of-bounds) trong usersctplib là CVE-2019-20503.
Bốn trong số các lỗ hổng còn lại được tìm thấy bởi Man Yue Mo thuộc nhóm nghiên cứu bảo mật Semmle. Cả bốn đều là lỗi “use-after-free” trong audio.
Lỗ hổng cuối cùng (CVE-2020-6426) được Google mô tả là một phát triển không phù hợp trong V8. Lỗ hổng được Avihay Cohen của SeraphicAlacticms tìm thấy.
Hiện, Google vẫn chưa tiết lộ số tiền được trao cho năm lỗ hổng cuối cùng.
Theo: Security Week