Cập nhật trình duyệt Chrome ngay để vá lỗ hổng bảo mật nghiêm trọng

Google khuyến cáo người dùng Windows, Mac và Linux nâng cấp ứng dụng lên phiên bản mới nhất ngay lập tức để vá bốn lỗ hổng bảo mật nghiêm trọng.

Cập nhật trình duyệt Chrome ngay để vá lỗ hổng bảo mật nghiêm trọng

Bản cập nhật Google Chrome 77.0.3865.90 chứa bản vá một lỗ hổng bảo mật nghiêm trọng và ba lỗ hổng mức độ nghiêm trọng cao. Tin tặc có thể khai thác những lỗi này để kiểm soát thiết bị từ xa.

Google sẽ giữ bí mật chi tiết của bốn lỗ hổng trong vài ngày nữa để ngăn chặn tin tặc khai thác và cho người dùng có đủ thời gian cài đặt bản cập nhật trình duyệt mới.

Nhóm bảo mật của Chrome chỉ tiết lộ cả bốn lỗ hổng đều là lỗi bảo mật use-after-free thuộc các thành phần khác nhau trong trình duyệt. Use-after-free là lỗ hổng liên quan đến bộ nhớ, tin tặc có thể lợi dụng lỗi này phá vỡ cấu trúc và sửa đổi các thông tin trong bộ nhớ thực thi của Chrome, từ đó thực hiện các cuộc tấn công thực thi mã từ xa.

Dưới đây là bốn lỗ hổng được vá trong trình duyệt Chrome 77.0.3865.90:

  • Use-after-free trong UI (giao diện người dùng) (CVE-2019-13685) – Báo cáo bởi nhà nghiên cứu Khalil Zhani.
  • Use-after-free trong media (CVE-2019-13688) – Báo cáo bởi nhà nghiên cứu Man Yue Mo thuộc nhóm nghiên cứu bảo mật Semmle.
  • Use-after-free trong media (CVE-2019-13687) – Báo cáo bởi nhà nghiên cứu Man Yue Mo thuộc nhóm nghiên cứu bảo mật Semmle.
  • Use-after-free trên các trang ngoại tuyến (CVE-2019-13686) – Báo cáo bởi nhà nghiên cứu Brendon Tiszka.

Google đã chi 40.000 USD tiền thưởng cho nhà nghiên cứu Man Yue Mo của Semmle (20.000 USD cho CVE-2019-13687 và 20.000 USD cho CVE-2019-13688). Hai lỗ hổng còn lại vẫn chưa có quyết định trao thưởng.

Nếu khai thác những lỗ hổng này thành công, tin tặc có thể tấn công thực thi mã tùy ý trên trình duyệt một cách dễ dàng bằng cách dẫn dụ nạn nhân mở hoặc điều hướng hướng đến trang web bị nhiễm trên Chrome. Từ đó, hắn sẽ thu thập được những thông tin nhạy cảm của người dùng, vượt qua các cơ chế bảo mật, thực hiện các hoạt động trái phép và tạo điều kiện cho các cuộc tấn công từ chối dịch vụ – tùy thuộc vào các đặc quyền liên quan đến ứng dụng.

Google Chrome sẽ thông báo cho người dùng về phiên bản mới nhất, nhưng để đảm bảo an toàn, bạn có thể tự cập nhật thủ công bằng cách truy cập vào Help > About Google Chrometừ menu trình duyệt.

Ngoài ra, bạn cũng nên chạy tất cả các phần mềm trên hệ thống nay khi có thể. Bởi vì người dùng không có đặc quyền sẽ giảm bớt tác động của các cuộc tấn công khai thác lỗ hổng zero-day.

Theo The Hacker News