Cập nhật Google Chrome càng sớm càng tốt để vá 2 bản vá lỗi 0-Day mới đang bị tấn công
Hôm thứ Năm, Google đã đưa ra các bản sửa lỗi bảo mật khẩn cấp cho trình duyệt Chrome của mình, bao gồm một số điểm yếu bảo mật mới mà công ty cho biết đang bị tấn công, khiến chúng trở thành những lỗ hổng bị tấn công mạnh mẽ thứ tư và thứ năm trong tháng này.
Được đặt tên là CVE-2021-37975 và CVE-2021-37976, đây là một phần của tổng số bốn bản vá và liên quan đến lỗ hổng sử dụng sau khi sử dụng miễn phí trong công cụ V8 JavaScript và WebAssembly cũng như rò rỉ thông tin trong lõi.
Như thường lệ, gã khổng lồ công nghệ đã hạn chế chia sẻ bất kỳ chi tiết bổ sung nào liên quan đến cách các lỗ hổng zero-day này được sử dụng trong các cuộc tấn công cho đến khi phần lớn người dùng được cập nhật các bản vá, nhưng lưu ý cho họ biết rằng CVE-2021-37975 và CVE-2021-37976 đang bị tấn công mạnh mẽ ngoài thị trường.
Một nhà nghiên cứu ẩn danh đã được ghi nhận với báo cáo CVE-2021-37975. Mặt khác, việc phát hiện ra CVE-2021-37976 liên quan đến Clément Lecigne từ Nhóm phân tích mối đe dọa của Google, người cũng được ghi nhận với CVE-2021-37973, một lỗ hổng sử dụng sau khi không sử dụng khác đã được khai thác tích cực trong API Cổng thông tin của Chrome đã được báo cáo tuần trước, làm dấy lên khả năng rằng hai lỗ hổng có thể đã được xâu chuỗi lại với nhau như một phần của chuỗi khai thác để thực thi mã tùy ý.
Trong bản cập nhật mới nhất, Google đã giải quyết được kỷ lục 14 lỗ hổng bảo mật Zero-days trên trình duyệt web kể từ đầu năm nay.
CVE-2021-21148 - Tràn bộ đệm đống trong V8
CVE-2021-21166 - Vấn đề tái chế đối tượng trong âm thanh
CVE-2021-21193 - Sử dụng sau khi miễn phí trong nháy mắt
CVE-2021-21206 - Sử dụng sau khi miễn phí trong nháy mắt
CVE-2021-21220 - Không đủ xác thực đầu vào không đáng tin cậy trong V8 cho x86_64
CVE-2021-21224 - Nhập nhầm vào V8
CVE-2021-30551 - Nhập nhầm vào V8
CVE-2021-30554 - Use-after-free trong WebGL
CVE-2021-30563 - Nhập nhầm vào V8
CVE-2021-30632 – Vượt ngoài giới hạn V8
CVE-2021-30633- Use-after-free trong chỉ mục API DB
CVE-2021-37973- Use-after-free trong cổng Portals.
Người dùng Chrome nên cập nhật lên phiên bản mới nhất (94.0.4606.71) cho Windows, Mac và Linux bằng cách đi tới Cài đặt> Trợ giúp> 'Giới thiệu về Google Chrome' để giảm thiểu mọi rủi ro tiềm ẩn khi bị tấn công.
Hương – Theo TheHackerNews