Đã phát hiện lỗ hổng V8 Zero-day của Chrome đang bị khai thác tích cực

Trong vài tuần qua, Google đã bộn rộn vá một số lỗ hổng bảo mật được khai thác tích cực trong trình duyệt Chrome của mình. Lỗ hổng mới nhất sử dụng một yếu điểm trong công cụ JavaScript V8 của phiên bản máy tính để thực hiện các cuộc tấn công RCE. Một lỗi khác trên phiên bản Chrome cho Android có tên là lỗ hổng Sandbox Escape.

Cập nhật phiên bản Chrome mới nhất để vá lỗ hổng V8 Zero-day

Các nhà nghiên cứu thuộc Nhóm phân tích mối đe dọa của Google (TAG) và Project Zero mới đây đã phát hiện một lỗ hổng Zero-day (CVE-2020-16009). Vào thứ Hai, Google đã phát hành bản vá Chrome 86.0.4240.183 cho Windows, macOS và Linux để giải quyết vấn đề này.

Lổ hổng Zero-Day nguy hiểm như thế nào?
Những kẻ tấn công mạng sẽ viết mã nhắm vào các điểm yếu bảo mật cụ thể. Họ đóng gói các mã này thành các phần mềm độc hại (malware) được gọi là lỗ hổng Zero-day. Phần mềm độc hại lợi dụng lỗ hổng Zero-Day để truy cập trái phép hệ thống máy tính, các thiết bị mobile và gây ra các hành vi ngoài ý muốn, chẳng hạn như cài đặt phần mềm độc hại có thể phá hỏng các file hoặc truy cập danh sách liên hệ để gửi các thư spam, thư rác từ tài khoản của người dùng, thậm chí là cài đặt phần mềm gián điệp để đánh cắp các thông tin nhạy cảm trên máy tính, thiết bị người dùng.
Xem thêm: Lỗ hổng Zero-Day là gì?

Các ghi chú vá lỗi không tiết lộ chi tiết về lỗ hổng bảo mật ngoài việc nói rằng nó liên quan đến "việc triển khai không phù hợp" trong công cụ kết xuất JavaScript V8. Họ cũng đề cập đến việc lỗ hổng đã được khai thác tích cực.

Ben Hawkes, trưởng nhóm kỹ thuật của Google Project Zero đã tweet rằng lỗ hổng này cho phép những kẻ tấn công thực hiện các cuộc tấn công RCE (thực thi mã từ xa). Hawkes cũng đề cập đến một bản cập nhật quan trọng cho phiên bản Chrome dành cho Android, vá lỗi "sandbox escape" trên điện thoại Android (CVE-2020-16010).

Hai lỗ hổng Zero-day này xuất hiện ngay sau hai lỗi khác mà Google gần đây đã giải quyết.

Hacker News đã báo cáo tằng CVE-2020-15999, một lỗi tràn bộ đệm (Buffer overflow) trong gói kết xuất phông chữ Freetype đã được khai thác tích cực chỉ hai tuần trước. Một lỗ hổng khác (CVE-2020-17087) được tìm thấy vào cuối tuần vừa qua đã gây ra lỗi tràn bộ đệm trong Windows Kernel Cryptography Driver, đã tạo ra lỗ hổng Sandbox Escape. Nó cũng được khai thác tích cực.

Bản cập nhật 86.0.4240.183 cũng bao gồm một số bản vá bảo mật ưu tiên cao khác. Google khuyên người dùng cập nhật Chrome trên cả phiên bản Android và máy tính ngay lập tức.

Xem thêm: Cách cập nhật phiên bản mới nhất trên Chrome

Tải và update phiên bản mới nhất trên PC, Android, iOS:

=> Link tải Google Chrome cho Windows

=> Link tải Google Chrome cho Android

=> Link tải Google Chrome cho iPhone

Người dùng mạng xã hội WhatsApp sắp tới sẽ được sử dụng một công cụ quản lý lưu trữ mới bao gồm việc dọn dẹp ảnh động GIF và các tin nhắn Spam dễ dàng hơn.

Xem thêm: WhatsApp giúp việc dọn dẹp ảnh GIF và spam dễ dàng hơn với công cụ quản lý lưu trữ mới
Tất cả người dùng Chrome nên cài đặt bản cập nhật trình duyệt mới nhất, phiên bản 86.0.4240.183 trên PC và phiên bản 86.0.4240.185 trên Android càng sớm càng tốt. Các bản cập nhật đã vá một số lỗi bảo mật, bao gồm 2 lỗ hổng Zero-day mà tin tặc đang tích cực khai thác.
Lỗ hổng trên Chrome cho phép hacker tìm ra mọi thông tin người dùng
Google phát hành Chrome 64 bổ sung các bản vá lỗ hổng Meltdown và Spectre
Chrome 76 chính thức có sẵn, chặn Flash theo mặc định
Chrome dính lỗ hổng cho phép trang web chặn người dùng ở chế độ ẩn danh
Google từ bỏ phát triển Chrome 82 do chậm phát hành
Google Chrome hiện hỗ trợ máy Mac chạy chip ARM và theo sau là Microsoft Edge

ĐỌC NHIỀU