Google cảnh báo về lỗ hổng bảo mật CVE-2024-7965 của Chrome đang bị khai thác tích cực
Google cảnh báo về lỗ hổng bảo mật CVE-2024-7965 của Chrome đang bị khai thác tích cực
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tung ra vào tuần trước cho trình duyệt Chrome của mình đã bị khai thác tích cực trong thực tế.
Được theo dõi là CVE-2024-7965, lỗ hổng này được mô tả là lỗi triển khai không phù hợp trong công cụ V8 JavaScript và WebAssembly.
"Việc triển khai không phù hợp trong V8 trong Google Chrome trước phiên bản 128.0.6613.84 đã cho phép kẻ tấn công từ xa có khả năng khai thác lỗi heap thông qua một trang HTML được tạo sẵn", theo mô tả về lỗi trong Cơ sở dữ liệu lỗ hổng quốc gia NIST (NVD).
Một nhà nghiên cứu bảo mật có bút danh trực tuyến là TheDog đã được ghi nhận là người phát hiện và báo cáo lỗ hổng vào ngày 30 tháng 7 năm 2024, giúp họ kiếm được khoản tiền thưởng lỗi là 11.000 đô la.
Các thông tin chi tiết bổ sung về bản chất của các cuộc tấn công khai thác lỗ hổng hoặc danh tính của những kẻ đe dọa có thể đang sử dụng lỗ hổng này vẫn chưa được công bố. Tuy nhiên, gã khổng lồ công nghệ thừa nhận rằng họ biết về sự tồn tại của một khai thác cho CVE-2024-7965.
Họ cũng cho biết, "trong quá trình khai thác tự nhiên của CVE-2024-7965 [...] đã được báo cáo sau bản phát hành này." Tuy nhiên, hiện tại vẫn chưa rõ liệu lỗ hổng này có được vũ khí hóa thành một ngày không trước khi tiết lộ vào tuần trước hay không.
Hacker News đã liên hệ với Google để biết thêm thông tin về lỗ hổng này và chúng tôi sẽ cập nhật câu chuyện nếu chúng tôi nhận được phản hồi.
Google đã giải quyết chín lỗi zero-day trong Chrome kể từ đầu năm 2024, bao gồm ba lỗi đã được trình diễn tại Pwn2Own 2024.
Người dùng được khuyến nghị nâng cấp lên Chrome phiên bản 128.0.6613.84/.85 cho Windows và macOS, và phiên bản 128.0.6613.84 cho Linux để giảm thiểu các mối đe dọa tiềm ẩn.
Hương – Theo TheHackerNews
Tin liên quan:
NTS Group xin thông báo đến Quý khách hàng thời gian nghỉ lễ Quốc Khánh năm 2023 từ thứ Bảy 31/08/2024 đến Thứ Ba 03/09/2024. Chúng tôi làm việc trở...
Chi tiếtCác nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ liệu thanh toán không tiếp xúc của nạn nhân từ thẻ...
Chi tiếtNgười dùng ở Nga đã trở thành mục tiêu của phần mềm gián điệp Android sau khi xâm phạm trước đây chưa được ghi chép có tên là LianSpy kể từ ít nhất...
Chi tiết