Google đã vá lỗ hổng an toàn thông tin ZeroDay thứ năm trên Chrome trong năm nay

0
0

 - Google đã phát hành bản vá bảo mật cho trình duyệt Chrome để vá lỗ hổng an toàn thông tin zero-day thứ năm đã bị khai thác trong môi trường thực tế kể từ đầu năm nay.

Lỗ hổng này có mã CVE-2024-4671, là một lỗi "Use After Free" (tạm dịch: "Sử dụng sau khi giải phóng bộ nhớ"). Đây là một loại lỗi liên quan đến bộ nhớ, có thể khiến bộ nhớ bị hỏng hoặc cho phép sửa đổi dữ liệu trong bộ nhớ, dẫn đến việc người dùng bị tước bỏ hoàn toàn các đặc quyền trên hệ thống hoặc phần mềm bị ảnh hưởng. Lỗ hổng tồn tại trên thành phần Visuals, chịu trách nhiệm xử lý việc kết xuất và hiển thị nội dung trên trình duyệt.

 

Lỗ hổng này đã bị khai thác trong môi trường thực tế và hiện đã được khắc phục trong phiên bản 124.0.6367.201/.202 cho Mac/Windows và phiên bản 124.0.6367.201 cho Linux. Đối với người dùng thuộc kênh “Extended Stable”, lỗ hổng sẽ được vá trong phiên bản 124.0.6367.201 cho Mac và Windows.

Chrome thường tự động cập nhật khi có bản vá bảo mật mới nhưng người dùng có thể kiểm tra phiên bản mình đang sử dụng bằng cách vào Cài đặt > Giới thiệu về Chrome (Settings > About Chrome). Đây là lỗ hổng thứ năm được phát hiện trên trình duyệt Google Chrome kể từ đầu năm nay, với các lỗ hổng khác được phát hiện trong cuộc thi Pwn2Own diễn ra vào tháng 3/2024 tại Vancouver.

Danh sách các lỗ hổng zero-day đã được phát hiện cụ thể là như sau:

• CVE-2024-0519: Lỗ hổng truy cập bộ nhớ ngoài giới hạn trong engine V8 JavaScript của Chrome, cho phép đối tượng tấn công từ xa khai thác lỗi heap thông qua trang HTML độc hại, dẫn đến việc truy cập trái phép các thông tin nhạy cảm.

• CVE-2024-2887: Lỗ hổng nhầm lẫn phân loại tồn tại trên tiêu chuẩn WebAssembly (Wasm), cho phép đối tượng tấn công thực thi mã từ xa (RCE) thông qua trang HTML độc hại.

• CVE-2024-2886: Lỗ hổng Use After Free tồn tại trong WebCodecs API, cho phép mã hóa và giải mã âm thanh và video. Đối tượng tấn công có thể thực thi mã từ xa khi khai thác lỗ hổng thông qua trang HTML độc hại.

• CVE-2024-3159: Lỗ hổng cho phép đọc ngoài phạm vi, tồn tại trong engine V8 JavaScript của Chrome. Đối tượng tấn công có thể truy cập các dữ liệu nằm ngoài phân vùng bộ nhớ đệm, từ đó dẫn đến lỗi heap cho phép đối tượng tấn công trích xuất thông tin nhạy cảm từ hệ thống.

PV


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.