Trình duyệt Chrome lại bị tấn công

Google đã đưa ra cảnh báo rằng một lỗi trong trình duyệt web Chrome của họ đang bị tin tặc tấn công một cách tích cực. Người khổng lồ công nghệ đang kêu gọi người dùng nâng cấp lên phiên bản 91.0.4472.101 mới nhất để giúp giảm thiểu các tác động của những sự cố có thể xảy ra.

Google đã tung ra các bản vá cho 14 lỗi gây ảnh hưởng đến trình duyệt Chrome trên máy tính để bàn chạy các hệ điều hành Windows, Mac và Linux như một phần của bản cập nhật trong tháng 6 này.

Prudhvikumar Bommana, Giám đốc Chương trình Kỹ thuật của Chrome nói: "Google biết việc khai thác lỗi CVE-2021-30551 đang tồn tại. Lỗi này được xác định là một lỗi nhầm lẫn trong công cụ JavaScript và WebAssembly mã nguồn mở V8 của Google".

Bản cập nhật trùng với việc phát hành trình duyệt Chrome di động chạy trên hệ điều hành Android - Chrome 91 (91.0.4472.101), cũng vào thời điểm đầu tháng 6 vừa qua. Mặc dù phiên bản dành cho máy tính để bàn và thiết bị di động của trình duyệt web Chrome có cùng mã phiên bản, nhưng chúng ta chưa rõ liệu trình duyệt Chrome của Android mới được cập nhật có bị ảnh hưởng bởi cùng một lỗ hổng nói trên hay không?

Hiện cũng không rõ liệu trình duyệt Edge của Microsoft, dựa trên trình duyệt mã nguồn mở Chromium (chủ yếu do Google phát triển và duy trì) có bị ảnh hưởng hay không?

Trong một tin tức liên quan, đầu tháng 6/2021, Microsoft đã phát hành bản vá cho các lỗ hổng đang bị tấn công một cách tích cực, bao gồm CVE-2021-33742, ảnh hưởng đến trình duyệt Edge của họ. Đó là lỗ hổng thực thi mã từ xa (RCE) trong thành phần MSHTML của trình duyệt Edge.

Microsoft giải thích, nền tảng MSHTML được sử dụng bởi chế độ Internet Explorer trong Microsoft Edge cũng như các ứng dụng khác thông qua điều khiển WebBrowser". 

Là một phần của bản cập nhật Chrome tháng 6, Google đã vá một lỗi nghiêm trọng (CVE-2021-30544) trong công cụ tối ưu hóa của trình duyệt có tên BFCache. Thành phần trình duyệt này cho phép điều hướng giữa các trang web được lưu trong bộ nhớ cache của Chrome.

Theo thông lệ với các lỗi được tiết lộ gần đây, Google đã không công bố các chi tiết liên quan đến bất kỳ lỗ hổng nào được vá. Một cố vấn của Google nói: "Quyền truy cập vào chi tiết lỗi và liên kết có thể bị hạn chế cho đến khi phần lớn người dùng đã cập nhật bản sửa lỗi. Chúng tôi cũng sẽ giữ lại các hạn chế nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác phụ thuộc vào nhưng vẫn chưa được khắc phục". 

Google đã thông báo ghi công cho Rong Jian và Guang Gong của 360 Alpha Lab vì đã tìm ra lỗi BFCache vào tháng 5. Với những nỗ lực tìm kiếm lỗi của họ, cặp đôi này đã nhận được 25.000 USD từ Google./.