Lỗ hổng bảo mật Zero-Day mới trên Google Chrome đang bị tấn công – Hãy cập nhật ngay trình duyệt của bạn

Nếu bạn đang sử dụng trình duyệt web Google Chrome, hãy nhanh chóng cập nhật phiên bản mới nhất để vá lỗ hổng bảo mật Zero-Day mới đang đứng trước nhiều nguy cơ tấn công.

Google vừa mới vá lỗ hổng bảo mật zero-day trên Chrome được thông báo vào 2 tuần trước cùng với 9 lỗ hổng bảo mật khác trong phiên bản cập nhật mới nhất.

Công ty phát hành bản 86.0,4240.183 dành cho Windows, Mac và Linux, cho tất cả các người dùng.

Lỗ hổng zero-day được định danh CVE-2020-16009, báo cảo bởi Clement Lecigne của Nhóm thống kê nguy cơ (TAG) và  Samuel Groß của Google Project Zero vào ngày 29/10.

Công ty đồng thời cũng cảnh báo rằng lỗ hổng này đang bị khai thác bên ngoài. Mặc dù Google không cung cấp chi tiết về lỗi hay việc khai thác ngoài cộng đồng sử dụng bởi các tác nhân đe dọa để cho phép đa số người dùng cài đặt các bản cập nhật và ngăn chặn những kẻ thù khác phát triển các khai thác của riêng họ tận dụng lỗ hổng.

Nhưng Ben Hawkes, trưởng nhóm kỹ thuật của Google Project Zero, cho biết CVE-2020-16009 lo ngại "việc triển khai không phù hợp" của công cụ kết xuất JavaScript V8 của nó dẫn đến thực thi mã từ xa.

Bên cạnh mười bản sửa lỗi bảo mật cho phiên bản Chrome dành cho máy tính để bàn, Google cũng đã giải quyết lỗi zero-day riêng biệt trong Chrome dành cho Android đang bị khai thác trong tự nhiên - một lỗ hổng thoát hộp cát được theo dõi là CVE-2020-16010.

Các tiết lộ về zero-day được đưa ra sau hai tuần sau khi Google sửa lỗi tràn bộ đệm nghiêm trọng (CVE-2020-15999) trong thư viện phông chữ Freetype.

Cuối tuần trước, công ty đã tiết lộ một đợt leo thang đặc quyền Windows zero-day (CVE-2020-17087) đã được sử dụng kết hợp với lỗ hổng thư viện kết xuất phông chữ ở trên để làm hỏng hệ thống Windows.

Người khổng lồ tìm kiếm cho đến nay vẫn chưa làm rõ liệu tác nhân đe dọa tương tự có đang khai thác hai ngày không.

Hương – The Hacker News