Google vá lỗ hổng zero-day Chrome thứ ba bị khai thác trong một tuần

0
0

- Google đã phát hành bản cập nhật bảo mật khẩn cấp mới cho Chrome để giải quyết lỗ hổng zero-day thứ ba, CVE-2024-4947, bị khai thác trong các cuộc tấn công trong vòng một tuần.

“Google biết rằng hoạt động khai thác CVE-2024-4947 đang tồn tại trong thực tế”, công ty cho biết trong một tư vấn bảo mật được công bố vào thứ Tư.

Công ty đã khắc phục lỗ hổng này bằng cách phát hành phiên bản 125.0.6422.60/.61 cho Mac/Windows và 125.0.6422.60 (Linux). Các phiên bản mới sẽ được triển khai đến tất cả người dùng trên kênh Stable Desktop trong vài tuần tới.

Chrome tự động cập nhật khi có bản vá bảo mật. Tuy nhiên, bạn cũng có thể xác nhận rằng bạn có đang sử dụng phiên bản mới nhất hay không bằng cách đi tới menu Chrome > Trợ giúp > Giới thiệu về Google Chrome, để quá trình cập nhật hoàn tất rồi nhấp vào nút 'Khởi động lại' (relaunch) để cài đặt.

 

Lỗ hổng zero-day CVE-2024-4947 có độ nghiêm trọng mức cao, bắt nguồn từ vấn đề nhầm lẫn loại (type confusion) trong công cụ JavaScript Chrome V8, được phát hiện và báo cáo bởi nhà nghiên cứu Vasily Berdnikov và Boris Larin của Kaspersky.

Các lỗ hổng như vậy thường cho phép tác nhân đe dọa gây ra sự cố trình duyệt bằng cách đọc hoặc ghi bộ nhớ bên ngoài giới hạn của bộ đệm, chúng cũng có thể bị khai thác để thực thi mã tùy ý trên các thiết bị bị nhắm mục tiêu.

Google đã xác nhận CVE-2024-4947 bị lạm dụng trong các cuộc tấn công nhưng chưa tiết lộ thêm bất kỳ thông tin chi tiết liên quan nào.

Google cho biết: “Quyền truy cập vào chi tiết lỗ hổng và thông tin liên quan có thể bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản vá”.

“Chúng tôi cũng sẽ tiếp tục việc hạn chế nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác sử dụng nhưng vẫn chưa được vá”.

Zero-day thứ bảy bị khai thác trong năm 2024

Lỗ hổng mới nhất này của Chrome là zero-day thứ bảy được giải quyết trong trình duyệt web của Google kể từ đầu năm, các zero-day được vá trước đó bao gồm:

CVE-2024-0519: Một lỗi truy cập bộ nhớ ngoài giới hạn (out-of-bounds write) có độ nghiêm trọng mức cao trong công cụ JavaScript Chrome V8, cho phép kẻ tấn công khai thác để truy cập trái phép vào các thông tin nhạy cảm.

CVE-2024-2887: Lỗ hổng nhầm lẫn loại có độ nghiêm trọng mức cao trong WebAssembly (Wasm), có thể bị khai thác để thực thi mã từ xa.

CVE-2024-2886: Lỗ hổng use-after-free trong API WebCodecs, được các ứng dụng web sử dụng để mã hóa và giải mã dữ liệu âm thanh và video, có thể bị khai thác để thực hiện việc đọc và ghi tùy ý thông qua các trang HTML độc hại, dẫn đến thực thi mã từ xa.

CVE-2024-3159: Lỗ hổng có độ nghiêm trọng mức cao liên quan đến vấn đề out-of-bounds read trong công cụ JavaScript Chrome V8, cho phép kẻ tấn công khai thác để truy cập trái phép vào các thông tin nhạy cảm.

CVE-2024-4671: Lỗ hổng use-after-free có độ nghiêm trọng mức cao trong thành phần Visuals.

CVE-2024-4761: Sự cố out-of-bounds write trong công cụ JavaScript V8 của Chrome.

PV (theo bleepingcomputer.com/tinnhiemmang.vn)


Ý kiến bạn đọc


Người phụ nữ Hà Nội bị lừa 24 tỷ đồng khi đầu tư “sàn vàng online”

(VnMedia) - Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Công an TP Hà Nội mới đây đã tiếp nhận đơn của chị T về việc bị chiếm đoạt 24 tỷ đồng khi tham gia đầu tư vàng online.

Các quy tắc AI mới của EU châm ngòi cho cuộc chiến về tính minh bạch dữ liệu

(VnMedia) - Một bộ luật mới quản lý việc sử dụng trí tuệ nhân tạo ở Liên minh châu Âu sẽ buộc các công ty phải minh bạch hơn về dữ liệu được sử dụng để đào tạo các hệ thống của họ, buộc họ phải công khai một trong những bí mật được bảo vệ chặt chẽ nhất của ngành.

Xem trọn vẹn vòng Chung kết Euro 2024 trên dịch vụ MyTV đa nền tảng của VNPT

(VnMedia) - Kỳ UEFA EURO 2024 sắp khởi tranh tại Đức với những đội tuyển bóng đá mạnh nhất lục địa già. Người hâm mộ tại Việt Nam có thể xem trọn vẹn sự kiện bóng đá sôi động nhất mùa hè này trên hệ thống dịch vụ MyTV của tập đoàn VNPT.

Giá vàng thế giới giảm sâu, trong nước đứng im

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (14/6), giá vàng giao ngay tại thị trường New York đã bất ngờ giảm sâu gần 19 USD/ounce. Trong nước, giá vàng nhẫn tròn trơn của Bảo Tín Minh Châu và vàng miếng SJC vẫn giữ nguyên mức giá được niêm yết trước đó.

Lỗ hổng zero-day ảnh hưởng đến các thiết bị Pixel đã bị khai thác trong thực tế

(VnMedia) - Google đã phát hành bản vá cho 50 lỗ hổng bảo mật ảnh hưởng đến các thiết bị Pixel của mình và cảnh báo rằng một trong số đó đã bị khai thác trong các cuộc tấn công có chủ đích dưới dạng zero-day.