Mới đây, Google đã phát hành bản cập nhật phần mềm của trình duyệt web Chrome dành cho máy tính để bàn để vá lỗ hổng Zero-day nghiêm trọng đang bị khai thác. Phiên bản mới này có cả cho người dùng Windows, Mac và Linux.
Ba lỗ hổng Critical trong Chrome bản cũ
Phiên bản Chrome 80.0.3987.122 mới nhất bao gồm các bản sửa lỗi bảo mật cho 3 lỗ hổng mới có mức độ nghiêm trọng cao. Trong số đó, lỗi CVE-2020-6418 đã bị kẻ xấu khai thác.
Dưới đây là những mô tả ngắn gọn cho các lỗi:
- Tràn số nguyên (Integer Overflow) trong ICU – Được báo cáo bởi André Bargull vào ngày 22/1/2020
- Truy cập bộ nhớ ngoài giới hạn định dạng tệp tin, CVE-2020-6407 – Báo cáo bởi Sergei Glazunov của Google Project Zero vào ngày 27/1/2020
- Nhầm lẫn phân loại trong V8, CVE-2020-6418 – Được báo cáo bởi Clement Lecigne của Nhóm phân tích mối đe dọa của Google (Google’s Threat Analysis Group) vào năm 18/2/2020.
Lỗ hổng Integer Overflow được phát hiện bởi André Bargull. Anh ta đã thông báo cho Google và nhận một phần thưởng 5.000 đô la. Hai lỗ hổng còn lại được xác định bởi các chuyên gia từ nhóm bảo mật Google.
Kẻ xấu vẫn đang tích cực khai thác lỗ hổng 0-day trên Chrome
Google cho biết CVE-2020-6418, xuất phát từ lỗi nhầm lẫn loại trong công cụ kết xuất JavaScript V8. Kẻ xấu đang tích cực khai thác lỗi này, tuy nhiên thông tin kỹ thuật về lỗ hổng không được công bố.
Google không tiết lộ thêm chi tiết về các lỗ hổng để để ngăn chặn hacker có thêm thông tin khai thác, giúp người dùng bị ảnh hưởng đủ thời gian để cài đặt bản cập nhật.
Việc khai thác lỗi tràn số nguyên hoặc lỗi truy cập ngoài định dạng có thể giúp kẻ tấn công từ xa lợi thực thi mã tùy ý trên hệ thống bằng cách lừa người dùng truy cập vào một trang web được thiết kế đặc biệt.
Người dùng Windows, Linux và macOS được khuyến khích cài đặt Chrome phiên bản mới nhất bằng cách chọn Help > About Google Chrome trong menu cài đặt.
Quỳnh Thảo, theo TheHackerNews
