Lỗ Hổng Trên Sim Có Thể Ảnh Hưởng Đến 1 Tỉ Người Dùng
17 Tháng Chín, 2019
Cách Bảo Vệ Trẻ Em Trên Môi Trường Internet
7 Tháng Mười, 2019

Cập Nhật Trình Duyệt Google Chrome Để Vá Các Lỗi Bảo Mật Nghiêm Trọng

Google mới đây đã phát hành bản cập nhật phần mềm khẩn cấp cho trình duyệt web Chrome của mình, đồng thời kêu gọi người dùng Windows, Mac và Linux nâng cấp ứng dụng lên phiên bản mới nhất càng sớm càng tốt.
Chính thức được tung ra cho người dùng trên toàn thế giới vào thứ Tư tuần này, phiên bản Chrome 77.0.3865.90 chứa các bản vá bảo mật cho 1 lỗ hổng “sống còn” (critical) và 3 lỗ hổng bảo mật mức độ nghiêm trọng cao (high-risk security vulnerability). Đáng chú ý, lỗ hổng nghiêm trọng nhất có thể cho phép tin tặc từ xa kiểm soát hệ thống bị ảnh hưởng.
Google đã quyết định giữ bí mật chi tiết của cả bốn lỗ hổng này, ít nhất là trong khoảng vài ngày nữa để ngăn chặn khả năng tin tặc có thể khai thác chúng, đồng thời cho người dùng đủ thời gian để cài đặt bản cập nhật Chrome.
Hiện tại, nhóm bảo mật Chrome chỉ tiết lộ rằng cả bốn lỗ hổng đều là các vấn đề use-after-free trong các thành phần khác nhau của trình duyệt web.
Như đã đề cập ở trên, lỗ hổng nghiêm trọng nhất có thể cho phép tin tặc thực hiện các cuộc tấn công thực thi mã từ xa. Lỗ hổng use-after-free này là một lỗi hỏng bộ nhớ cho phép làm hỏng hoặc sửa đổi dữ liệu trong bộ nhớ, khiến cho người dùng không có đặc quyền có thể leo thang đặc quyền trên các hệ thống hoặc phần mềm bị ảnh hưởng.
Lỗ hổng use-after-free trong giao diện người dùng (CVE-2019-13685) – Báo cáo bởi Khalil Zhani
Lỗ hổng use-after-free trong media (CVE-2019-13688) – Báo cáo bởi Man Yue Mo thuộc Nhóm nghiên cứu bảo mật Semmle
Lỗ hổng use-after-free trong media (CVE-2019-13687) – Báo cáo bởi Man Yue Mo thuộc Nhóm nghiên cứu bảo mật Semmle
Lỗ hổng use-after-free trong các trang ngoại tuyến (CVE-2019-13686) – Báo cáo bởi Brendon Tiszka
Google đã trả tổng cộng 40.000 đô la tiền thưởng cho Man Yue Mo thuộc Nhóm nghiên cứu Semmle nhờ những phát hiện và báo cáo về hai lỗ hổng bảo mật nghiêm trọng, trong đó 20.000 đô la dành cho cho những phát hiện đối với lỗ hổng CVE-2019-13687 và 20.000 đô la còn lại cho lỗ hổng CVE-2019-13688. Vẫn chưa có quyết định cuối cùng về khoản tiền thưởng dành cho những phát hiện của các nhà nghiên cứu với 2 lỗ hổng còn lại.
Một khi khai thác thành công, các lỗ hổng này có thể cho phép kẻ tấn công thực thi mã tùy ý trong bối cảnh trình duyệt, chỉ bằng cách thuyết phục nạn nhân mở hoặc chuyển hướng đến một trang web được chế tạo đặc biệt trên trình duyệt Chrome chứa lỗ hổng mà không cần thêm bất kỳ tương tác nào khác.
Dựa trên các tiết lộ trước đó, các lỗ hổng use-after-free kể trên cũng có thể dẫn đến việc tiết lộ thông tin nhạy cảm, bỏ qua các hạn chế bảo mật, cho phép thực hiện các hành động trái phép hoặc gây ra tình trạng từ chối dịch vụ – tùy thuộc vào các đặc quyền liên quan đến ứng dụng.
Mặc dù Google Chrome sẽ tự động thông báo cho người dùng về các phiên bản mới nhất có sẵn, nhưng người dùng vẫn được khuyến nghị kích hoạt thủ công quá trình cập nhật bằng cách truy cập vào Trợ giúp (Help) → Về Google Chrome (About Google Chrome) từ menu của trình duyệt.
Bên cạnh đó, bạn cũng nên chạy tất cả các phần mềm trên hệ thống của mình với tư cách của một người dùng không có đặc quyền bất cứ khi nào có thể, để giảm bớt tác động của các cuộc tấn công khai thác lỗ hổng zero-day. Chúng tôi sẽ cập nhật thêm thông tin về các lỗ hổng bảo mật này ngay khi Google chính thức công bố các chi tiết kỹ thuật.
– Ban Truyền thông iSpace –
5 (100%) 1 vote

Trả lời