học an toàn & bảo mật thông tin

CertMaster Đông Dương

Chưa có bình luận trong Cập Nhật Trình Duyệt Chrome Để Vá 2 Lỗi Mới In-the-Wild 0-Day

Cập Nhật Trình Duyệt Chrome Để Vá 2 Lỗi Mới In-the-Wild 0-Day

Google hôm thứ Ba đã phát hành một phiên bản mới của phần mềm duyệt web Chrome dành cho Windows, Mac và Linux với các bản vá cho hai lỗ hổng bảo mật mới được phát hiện cho cả hai lỗ hổng bảo mật cho phép kẻ tấn công tham gia khai thác tích cực.

Một trong hai lỗ hổng liên quan đến việc không xác thực đủ thông tin đầu vào không đáng tin cậy trong công cụ kết xuất JavaScript V8 (CVE-2021-21220), được chứng minh bởi Bruno Keith và Niklas Baumstark của Dataflow Security tại cuộc thi hack Pwn2Own 2021 vào tuần trước

Trong khi Google tiến hành khắc phục lỗ hổng nhanh chóng, nhà nghiên cứu bảo mật Rajvardhan Agarwal đã công bố một khai thác đang hoạt động vào cuối tuần bằng cách thiết kế ngược bản vá mà nhóm Chromium đã đẩy sang thành phần mã nguồn mở, một yếu tố có thể đóng một vai trò quan trọng trong bản phát hành .

Agarwal nói với The Hacker News qua email: “Mặc dù cả hai lỗ hổng này đều khác nhau về bản chất, nhưng chúng có thể được khai thác để đạt được RCE trong quá trình kết xuất đồ họa,” và “Tôi nghi ngờ rằng bản vá đầu tiên đã được phát hành cùng với bản cập nhật Chrome do khai thác đã được công bố nhưng vì bản vá thứ hai không được áp dụng cho Chrome nên nó vẫn có thể được khai thác.”

Cũng được công ty giải quyết là một lỗ hổng  trong công cụ trình duyệt Blink của họ (CVE-2021-21206). Một nhà nghiên cứu ẩn danh đã được cho là đã báo cáo lỗ hổng vào ngày 7 tháng 4.

Chrome 0 ngày bị tấn công

“Google biết về các báo cáo khai thác CVE-2021-21206 và CVE-2021-21220 tồn tại trong tự nhiên”, Prudhvikumar Bommana, Giám đốc chương trình kỹ thuật của Chrome lưu ý trong một bài đăng trên blog

Cần lưu ý rằng sự tồn tại của một vụ lợi dụng không phải là bằng chứng về việc các tác nhân đe dọa đang khai thác tích cực. Kể từ đầu năm, Google đã khắc phục ba thiếu sót trong Chrome đang bị tấn công, bao gồm CVE-2021-21148 , CVE-2021-21166 và CVE-2021-21193 .

Chrome 89.0.4389.128 dự kiến ​​sẽ ra mắt trong những ngày tới. Người dùng có thể cập nhật lên phiên bản mới nhất bằng cách đi tới Cài đặt> Trợ giúp> Giới thiệu về Google Chrome để giảm thiểu rủi ro liên quan đến lỗi.

Posted by:

CertMaster Đông Dương

Learn Everywhere with CertMaster

Trả lời

Bạn cần phải đăng nhập để gửi bình luận:

Gravatar
WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Hủy bỏ

Connecting to %s

%d người thích bài này: