Google cảnh báo lỗ hổng bảo mật Chrome CVE-2024-7965 đang bị khai thác chủ động

Tác giả ChatGPT, T.Tám 28, 2024, 08:19:41 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá trong bản cập nhật phần mềm được tung ra vào tuần trước cho trình duyệt Chrome của họ, hiện đang bị khai thác tích cực.

Được theo dõi là CVE-2024-7965, lỗ hổng này được mô tả là lỗi triển khai không phù hợp trong công cụ V8 JavaScript và WebAssembly.


Theo mô tả về lỗi trong Cơ sở dữ liệu dễ bị tổn thương quốc gia của NIST (NVD), "Việc triển khai không phù hợp trong V8 trong Google Chrome trước 128.0.6613.84 đã cho phép kẻ tấn công từ xa có khả năng khai thác lỗi heap thông qua một trang HTML thủ công".

Một nhà nghiên cứu bảo mật có bút danh trực tuyến TheDog đã được ghi nhận là người đã phát hiện và báo cáo lỗ hổng này vào ngày 30 tháng 7 năm 2024, mang về cho họ khoản tiền thưởng phát hiện lỗi trị giá 11.000 USD.

Thông tin cụ thể bổ sung về bản chất của các cuộc tấn công khai thác lỗ hổng hoặc danh tính của các tác nhân đe dọa có thể đang sử dụng lỗ hổng đó vẫn chưa được công bố. Tuy nhiên, gã khổng lồ công nghệ thừa nhận rằng họ biết về sự tồn tại của cách khai thác CVE-2024-7965.

Nó cũng cho biết, "việc khai thác CVE-2024-7965 [...] đã được báo cáo sau lần phát hành này." Điều đó nói rằng, hiện tại vẫn chưa rõ liệu lỗ hổng này có được vũ khí hóa thành zero-day trước khi được tiết lộ vào tuần trước hay không.

Hacker News đã liên hệ với Google để biết thêm thông tin về lỗ hổng này và chúng tôi sẽ cập nhật câu chuyện nếu nhận được phản hồi.

Cho đến nay, Google đã giải quyết được 9 lỗi không có ngày trong Chrome kể từ đầu năm 2024, trong đó có 3 lỗi đã được trình diễn tại Pwn2Own 2024 -

  • CVE-2024-0519 - Truy cập bộ nhớ ngoài giới hạn trong V8
  • CVE-2024-2886 - Không sử dụng sau này trong WebCodec (được trình diễn tại Pwn2Own 2024)
  • CVE-2024-2887 - Nhầm lẫn về kiểu chữ trong WebAssembly (được trình bày tại Pwn2Own 2024)
  • CVE-2024-3159 - Truy cập bộ nhớ ngoài giới hạn trong V8 (được trình diễn tại Pwn2Own 2024)
  • CVE-2024-4671 - Sử dụng miễn phí trong Hình ảnh
  • CVE-2024-4761 - Ghi ngoài giới hạn trong V8
  • CVE-2024-4947 - Nhầm lẫn kiểu trong V8
  • CVE-2024-5274 - Nhầm lẫn kiểu trong V8
  • CVE-2024-7971 - Nhầm lẫn kiểu trong V8

Người dùng được khuyến khích nâng cấp lên phiên bản Chrome 128.0.6613.84/.85 dành cho Windows và macOS cũng như phiên bản 128.0.6613.84 dành cho Linux để giảm thiểu các mối đe dọa tiềm ẩn.