Cập nhật ngay Google Chrome để vá lỗ hổng Zero-day mới đang bị khai thác ngoài thị trường

15/12/2021 08:00:00

Google đã tung ra các bản sửa lỗi cho 5 lỗ hổng bảo mật trong trình duyệt web Chrome của mình, trong đó có một lỗ hổng bảo mật mà họ cho rằng đang bị khai thác ngoài thị trường, khiến nó trở thành điểm yếu thứ 17 được tiết lộ kể từ đầu năm.

Được theo dõi là CVE-2021-4102, lỗ hổng này liên quan đến một lỗi use-after-free trong công cụ V8 JavaScript và WebAssembly, có thể gây ra hậu quả nghiêm trọng từ việc làm hỏng dữ liệu hợp lệ đến việc thực thi mã tùy ý. Một nhà nghiên cứu ẩn danh đã được ghi nhận là người phát hiện và báo cáo lỗ hổng.

Hiện tại, vẫn chưa biết điểm yếu đang bị lạm dụng như thế nào trong các cuộc tấn công trong thế giới thực, nhưng gã khổng lồ internet đã đưa ra một tuyên bố ngắn gọn rằng, "họ biết về các báo cáo rằng việc khai thác CVE-2021-4102 tồn tại trong tự nhiên." Điều này được thực hiện nhằm cố gắng đảm bảo rằng phần lớn người dùng được cập nhật bản sửa lỗi và ngăn chặn việc khai thác thêm bởi các tác nhân đe dọa khác.

CVE-2021-4102 là lỗ hổng trong use-after-free của bộ máy V8 JavaScript and WebAssembly, công ty đã khắc phục trong vòng chưa đầy ba tháng sau các báo cáo về hoạt động khai thác tích cực, với lỗ hổng trước đó CVE-2021-37975, cũng được báo cáo bởi một nhà nghiên cứu ẩn danh. Bản cập nhật ra mắt vào ngày 30/9. Hiện vẫn chưa rõ hai lỗ hổng này có liên quan gì đến nhau hay không.

Với bản cập nhật mới nhất này, Google đã giải quyết được kỷ lục 17 lỗ hổng Zero-day có trong Chrome trong năm nay.

CVE-2021-21148 - Tràn bộ đệm đống trong V8

CVE-2021-21166 - Vấn đề tái chế đối tượng trong âm thanh

CVE-2021-21193 - Use-after-free trong Blink

CVE-2021-21206 - Use-after-free trong Blink

CVE-2021-21220 - Không đủ xác thực đầu vào không đáng tin cậy trong V8 cho x86_64

CVE-2021-21224 – Lỗi đánh máy trong V8

CVE-2021-30551 - Lỗi đánh máy trong V8

CVE-2021-30554 - Use-after-free trong WebGL

CVE-2021-30563 - Lỗi đánh máy trong V8

CVE-2021-30632 – Lỗi out of bounds trong V8

CVE-2021-30633 - Use-after-free trong Indexed DB API

CVE-2021-30633 - Use-after-free trong Portals

CVE-2021-37975 - Use-after-free trong V8

CVE-2021-37976 - Rò rỉ thông tin trong lõi

CVE-2021-38000 - Xác thực không đầy đủ thông tin đầu vào không đáng tin cậy trong Intents

CVE-2021-38003 - Triển khai không phù hợp trong V8

Người dùng Chrome được khuyến nghị cập nhật lên phiên bản mới nhất (96.0.4664.110) cho Windows, Mac và Linux bằng cách đi tới Cài đặt> Trợ giúp> 'Giới thiệu về Google Chrome' để giảm thiểu mọi rủi ro tiềm ẩn khi lỗ hổng bị khai thác.

Hương – Theo TheHackerNews