Google vá hai lỗi zero-day trong Chrome

Gia Bách| 04/11/2020 20:37
Theo dõi ICTVietnam trên

Google đã vá hai lỗ hổng zero-day trên trình duyệt Chrome hiện đang bị tin tặc khai thác.

Các nhà nghiên cứu cho rằng nếu không được vá, hai lỗ hổng này có thể sẽ cho phép tin tặc xâm nhập vào thiết bị của người dùng.

Google vá hai lỗi zero-day trong Chrome - Ảnh 1.

Trụ sở chính của Google tại Mountain View, California, Mỹ.

Từ Google...

Google đã giải quyết lỗ hổng CVE-2020-16009 trên Chrome dành cho máy tính để bàn và phát hành phiên bản trình duyệt Chrome 86.0.4240.185 cho Android như một bản sửa lỗi cho lỗ hổng CVE-2020-16010. 

Chris Hazelton, Giám đốc giải pháp bảo mật tại Lookout, cho biết các lỗ hổng này sẽ cho phép "kẻ tấn công từ xa xâm phạm vào quá trình kết xuất đồ họa để thực hiện thoát Sandbox bằng cách sử dụng HTML và khai thác thành công lỗ hổng, cho phép chúng xâm phạm vào thiết bị".

Lỗ hổng trên Android, ảnh hưởng đến tất cả các phiên bản, trừ phiên bản mới nhất. Lỗ hổng này làm tràn bộ đệm trong khi xử lý nội dung HTML không đáng tin trong giao diện người dùng Google Chrome trên Android. Nó cho phép kẻ tấn công đưa dữ liệu vào bộ nhớ đệm vượt quá khả năng của nó và làm hỏng dữ liệu hoặc một chức năng chương trình, dẫn đến sự cố hoặc làm hỏng bộ nhớ.

Hai bản vá lỗi zero-day này có sau bản sửa lỗi ngày 20/10 cho lỗi CVE-2020-15999, một bản vá lỗi zero-day trên Chrome dùng cho máy tính để bàn mà Charles Ragland, kỹ sư bảo mật tại Digital Shadows, cho biết, như CVE-2020-16009, CVE-2020-15999 là một lỗ hổng trong thư viện FreeType 2 được sử dụng để hiển thị phông chữ trong Google Chrome và công cụ JavaScript V8 được Google Chrome sử dụng. 

Ông cho biết, những kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi email lừa đảo chứa liên kết đến một trang web lưu trữ trang độc hại với tệp phông chữ đã được sửa đổi. Kết hợp với sự phổ biến của các chiến dịch lừa đảo mà hầu hết các tổ chức phải đối mặt, những thiết bị chưa được vá lỗi đối diện với nguy cơ đáng kể vì có bằng chứng rằng những lỗ hổng này đang bị khai thác.

... Đến Adobe và Oracle

Gần đây nhất, cả Adobe và Oracle cũng đã phát hành các bản vá lỗi cho các sản phẩm do họ phát triển. Adobe đã sửa các lỗ hổng có độ nghiêm trọng từ thấp đến cao trong hệ thống các phần mềm ứng dụng và dịch vụ web Adobe Reader và Acrobat trên cả hệ điều hành Windows và macOS.

Ragland cho biết, các bản cập nhật của Adobe đã giải quyết tổng cộng 14 CVE, trong đó có 4 bản được đánh giá là quan trọng. Các lỗ hổng nghiêm trọng bao gồm lỗ hổng tràn bộ đệm (CVE-2020-24435), lỗ hổng ghi ngoài giới hạn (CVE-2020-24436) và hai lỗi CVE-2020-24430 và CVE- 2020-24437, tất cả đều có thể cho phép thực thi mã tùy ý. Cho đến nay, không có bằng chứng cho thấy những lỗ hổng này đang bị khai thác.

Ngoài ra, từ tháng 2/2018 đến tháng 9/2020, các nhà nghiên cứu của Mandiant - một công ty an ninh mạng có trụ sở tại Alexandria, Virginia, Mỹ đã theo dõi nhóm tin tặc UNC1945 và đã có báo cáo về các sai sót trong hệ điều hành Oracle Solaris. Mandiant đã thông báo lỗ hổng (CVE-2020-14871) cho Oracle, và công ty đã giải quyết việc này trong bản cập nhật của bản vá quan trọng vào tháng 10/2020. 

Theo Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST), lỗ hổng dễ bị khai thác này sẽ cho phép những kẻ tấn công không được xác thực có quyền truy cập mạng thông qua nhiều giao thức xâm phạm Oracle Solaris. Mandiant khuyến nghị, các nhóm bảo mật cần luôn cập nhật tất cả các bản cập nhật vá lỗi hiện tại để đảm bảo tình trạng bảo mật cao.

Oracle cũng đã phát hành bản cập nhật vào đầu tháng này cho phần mềm quản trị hiệu suất doanh nghiệp EPM 11.2.3. Bản cập nhật bao gồm các chứng nhận nền tảng được cập nhật; hợp lý hóa và đơn giản hóa kiến trúc, cập nhật công nghệ cơ bản; và cung cấp cấu hình kho lưu trữ được đơn giản hóa để hợp lý hóa cơ sở hạ tầng và kiến trúc cho tương lai. Oracle sẽ cung cấp hỗ trợ ít nhất đến năm 2030. Bản phát hành mới nhất cũng liệt kê các bản vá lỗi của Oracle có từ tháng 9/2019.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
Google vá hai lỗi zero-day trong Chrome
POWERED BY ONECMS - A PRODUCT OF NEKO