Bản cập nhật khẩn cấp của Google Chrome sửa lỗi zero-day được sử dụng trong các cuộc tấn công | VN-Zoom | Cộng đồng Chia Sẻ Kiến Thức Công Nghệ và Phần Mềm Máy Tính

Adblocker detected! Please consider reading this notice.

We've detected that you are using AdBlock Plus or some other adblocking software which is preventing the page from fully loading.

We need money to operate the site, and almost all of it comes from our online advertising.

If possible, please support us by clicking on the advertisements.

Please add vn-z.vn to your ad blocking whitelist or disable your adblocking software.

×

Bản cập nhật khẩn cấp của Google Chrome sửa lỗi zero-day được sử dụng trong các cuộc tấn công

pepePE

Rìu Chiến Vàng
VIP User

Google đã phát hành Chrome 99.0.4844.84 cho người dùng Windows, Mac và Linux để giải quyết lỗi zero-day mức độ nghiêm trọng cao bị khai thác trong tự nhiên.

"Google biết rằng CVE-2022-1096 đang tồn tại một khai thác", nhà cung cấp trình duyệt cho biết trong một tư vấn bảo mật được công bố vào thứ Sáu.

Phiên bản 99.0.4844.84 đã được phát hành trên toàn thế giới trên kênh Stable Desktop và Google cho biết có thể mất vài tuần trước khi nó đến tay toàn bộ cơ sở người dùng.

Bản cập nhật này ngay lập tức khả dụng khi BleepingComputer kiểm tra các bản cập nhật mới trong menu Chrome> Trợ giúp> Giới thiệu về Google Chrome.




Trình duyệt web cũng sẽ tự động kiểm tra các bản cập nhật mới và tự động cài đặt chúng sau lần khởi chạy tiếp theo.



Chi tiết khai thác không được tiết lộ
Lỗi zero-day được sửa hôm nay (được theo dõi là CVE-2022-1096) là một điểm yếu gây nhầm lẫn loại nghiêm trọng cao trong công cụ JavaScript V8 của Chrome được một nhà nghiên cứu bảo mật ẩn danh báo cáo.

Mặc dù lỗi nhầm lẫn kiểu thường khiến trình duyệt gặp sự cố sau khi khai thác thành công bằng cách đọc hoặc ghi bộ nhớ bên ngoài giới hạn bộ đệm, chúng cũng có thể bị kẻ tấn công khai thác để thực thi mã tùy ý.

Mặc dù Google cho biết họ đã phát hiện các cuộc tấn công khai thác ngày 0, nhưng công ty đã không chia sẻ chi tiết kỹ thuật hoặc thông tin bổ sung về những sự cố này.

"Quyền truy cập vào các chi tiết lỗi và liên kết có thể bị hạn chế cho đến khi hầu hết người dùng được cập nhật bản sửa lỗi", Google cho biết.

"Chúng tôi cũng sẽ giữ các hạn chế nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác dựa vào tương tự nhưng vẫn chưa được sửa."

Người dùng Google Chrome phải có đủ thời gian để cập nhật Chrome và tránh các nỗ lực khai thác cho đến khi nhà cung cấp trình duyệt tiết lộ thêm thông tin.

Bản vá lỗi zero-day thứ hai của Chrome trong năm nay
Với bản cập nhật này, Google đã giải quyết ngày thứ hai của Chrome kể từ đầu năm 2022, ngày còn lại (được đăng ký là CVE-2022-0609) được vá vào tháng trước.

Nhóm phân tích mối đe dọa của Google (TAG) tiết lộ rằng tin tặc nhà nước do Triều Tiên hậu thuẫn đã khai thác CVE-2022-0609 0 ngày trước bản vá tháng Hai. Dấu hiệu khai thác tích cực đầu tiên được tìm thấy vào ngày 4 tháng 1 năm 2022.

Zero-Day bị khai thác bởi hai nhóm đe dọa riêng biệt được chính phủ Triều Tiên hậu thuẫn trong các chiến dịch đẩy phần mềm độc hại qua email lừa đảo bằng cách sử dụng chiêu dụ việc làm giả mạo và các trang web bị xâm nhập lưu trữ iframe ẩn để phục vụ cho một bộ công cụ khai thác.

Các nhà nghiên cứu giải thích: "Các email chứa các liên kết giả mạo các trang web tìm kiếm việc làm hợp pháp như Indeed và ZipRecruiter".

“Trong các trường hợp khác, chúng tôi đã thấy các trang web giả mạo, đã được thiết lập để phân phối các ứng dụng tiền điện tử bị trojanized, lưu trữ iframe và hướng khách truy cập của họ đến bộ công cụ khai thác.”

Văn bản được dịch bằng Google Dịch.
Tôi cảm thấy sự bất tiện của những từ bị dịch sai
Nguồn
 


Top