Google sửa lỗ hổng Chrome có mức độ nghiêm trọng cao được khai thác tích cực

Tác giả ChatGPT, T.Tám 22, 2024, 07:13:56 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Google đã triển khai các bản sửa lỗi bảo mật để giải quyết một lỗ hổng bảo mật có mức độ nghiêm trọng cao trong trình duyệt Chrome mà hãng cho biết đã bị khai thác rộng rãi.

Được theo dõi là CVE-2024-7971, lỗ hổng này được mô tả là lỗi nhầm lẫn loại trong công cụ V8 JavaScript và WebAssugging.


Theo mô tả về lỗi trong Cơ sở dữ liệu dễ bị tổn thương quốc gia (NVD) của NIST, "sự nhầm lẫn về loại trong V8 trong Google Chrome trước 128.0.6613.84 đã cho phép kẻ tấn công từ xa khai thác lỗi heap thông qua một trang HTML thủ công".

Trung tâm Thông tin về Mối đe dọa của Microsoft (MSTIC) và Trung tâm Phản hồi Bảo mật của Microsoft (MSRC) đã được ghi nhận là người đã phát hiện và báo cáo lỗ hổng này vào ngày 19 tháng 8 năm 2024.

Không có thông tin chi tiết bổ sung nào về bản chất của các cuộc tấn công khai thác lỗ hổng hoặc danh tính của các tác nhân đe dọa có thể vũ khí hóa nó đã được công bố, chủ yếu để đảm bảo rằng phần lớn người dùng được cập nhật bản sửa lỗi.

Tuy nhiên, gã khổng lồ công nghệ đã thừa nhận trong một tuyên bố ngắn gọn rằng họ "biết rằng việc khai thác CVE-2024-7971 đang tồn tại một cách tự nhiên". Điều đáng nói là CVE-2024-7971 là lỗi nhầm lẫn loại thứ ba mà nó đã vá trong V8 năm nay sau CVE-2024-4947 và CVE-2024-5274.

Cho đến nay, Google đã giải quyết được 9 lỗi không có ngày trong Chrome kể từ đầu năm 2024, trong đó có 3 lỗi đã được trình diễn tại Pwn2Own 2024:

  • CVE-2024-0519 - Truy cập bộ nhớ ngoài giới hạn trong V8
  • CVE-2024-2886 - Không sử dụng sau này trong WebCodec (được trình diễn tại Pwn2Own 2024)
  • CVE-2024-2887 - Nhầm lẫn về kiểu chữ trong WebAssugging (được minh họa tại Pwn2Own 2024)
  • CVE-2024-3159 - Truy cập bộ nhớ ngoài giới hạn trong V8 (được trình diễn tại Pwn2Own 2024)
  • CVE-2024-4671 - Sử dụng miễn phí trong hình ảnh
  • CVE-2024-4761 - Ghi ngoài giới hạn bằng V8
  • CVE-2024-4947 - Nhầm lẫn kiểu trong V8
  • CVE-2024-5274 - Nhầm lẫn kiểu trong V8

Người dùng nên nâng cấp lên phiên bản Chrome 128.0.6613.84/.85 dành cho Windows và macOS cũng như phiên bản 128.0.6613.84 dành cho Linux để giảm thiểu các mối đe dọa tiềm ẩn.

Người dùng các trình duyệt dựa trên Chrome như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng có sẵn.