Google vá lỗ hổng bị khai thác thực tế trên Chrome

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi DDos, 11/06/21, 11:06 AM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,965
    Đã được thích: 472
    Điểm thành tích:
    83
    Tuần này, Google vá 14 lỗ hổng trong trình duyệt Chrome, bao gồm cả lỗ hổng zero-day đang bị khai thác trong thực tế.

    Nghiêm trọng nhất (CVE-2021-30544) là lỗi use-after-free trong bộ nhớ ảnh hưởng đến thành phần BFCache.

    bfcache là một bộ đệm ghi lại và chuyển tiếp, có nhiệm vụ lưu lại toàn bộ nội dung trang web vào bộ nhớ đệm (bao gồm cả thành phần JavaScript heap), giúp người dùng nhanh chóng tải lại trang khi rời khỏi.

    chrome-zero-day-vulnerability.jpg

    Google trao thưởng 25.000 đô la cho các nhà nghiên cứu Rong Jian và Guang Gong từ 360 Alpha Lab vì đã báo cáo lỗ hổng này.

    Trong bản cập nhật này, Google cũng sửa 6 lỗ hổng use-after-free có mức độ nghiêm trọng cao trong tiện ích mở rộng, chức năng tự động điền, trình tải, chức năng kiểm tra lỗi chính tả, thành phần khả năng truy cập và công cụ JavaScript V8 cũng như lỗ hổng ghi ngoài biên có mức nghiêm trọng cao trong ANGLE.

    Đáng chú ý, lỗ hổng trong công cụ JavaScript V8 (CVE-2021-30551) đã bị tin tặc khai thác trong các cuộc tấn công. Google xác nhận điều này.

    Nhà nghiên cứu bảo mật Shane Huntley của Google tiết lộ “một công ty chuyên bán các lỗ hổng bảo mật cho các nhóm tội phạm nhắm mục tiêu vào các quốc gia Đông Âu và Trung Đông” đã phát triển nhiều phương thức khai thác CVE-2021-30551.

    Có vẻ như công ty này cũng phát triển công cụ khai thác cho lỗ hổng thực thi mã từ xa nghiêm trọng (CVE-2021-33742) trong nền tảng Windows MSHTML.

    Đây là lần thứ 6 Google sửa các lỗ hổng 0-day trong trình duyệt Chrome kể từ tháng 1 năm nay, các lỗ hổng trước đó bao gồm CVE-2021-21148, CVE-2021-21166, CVE-2021-21193, CVE-2021-21220,CVE-2021-21224.

    Theo: securityaffairs
     
    Last edited by a moderator: 11/06/21, 12:06 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan