Chrome sửa lỗi 0 ngày được đăng trên Twitter | VN-Zoom | Cộng đồng Chia Sẻ Kiến Thức Công Nghệ và Phần Mềm Máy Tính

Adblocker detected! Please consider reading this notice.

We've detected that you are using AdBlock Plus or some other adblocking software which is preventing the page from fully loading.

We need money to operate the site, and almost all of it comes from our online advertising.

If possible, please support us by clicking on the advertisements.

Please add vn-z.vn to your ad blocking whitelist or disable your adblocking software.

×

Chrome sửa lỗi 0 ngày được đăng trên Twitter

pepePE

Rìu Chiến Vàng
VIP User


Tuần vừa qua không hẳn là một tuần tốt đẹp đối với người dùng Google Chrome. Hai nhà nghiên cứu bảo mật khác nhau đã đăng hai lỗi bảo mật zero-day ảnh hưởng đến công cụ trình duyệt trên Twitter. Những lỗi này đi kèm với một khai thác công khai chứng minh cách có thể thực thi mã thông qua trình duyệt, bên ngoài chế độ Hộp cát. Mặc dù khai thác chúng là một nhiệm vụ khá phức tạp, hai lỗi này đã làm lộ ra tính bảo mật của trình duyệt Google và thời gian phản hồi của công ty. Và, một tuần sau, chúng cuối cùng đã được sửa chữa.

Cách đây vài giờ, Google đã xuất bản bản cập nhật khẩn cấp cho phiên bản 90 của Chrome. Phiên bản mới này, cụ thể là 90.0.4430.85, là bản vá bảo mật nên không mang lại tin tức hay cải tiến mà thay vào đó tập trung vào việc sửa 6 lỗi bảo mật nghiêm trọng có thể gây nguy hiểm cho bảo mật của người dùng. Và trong số đó có những lỗi được tiết lộ thông qua Twitter vào tuần trước.

Đã sửa lỗi bảo mật trong Chrome 90.0.4430.85
Lỗ hổng bảo mật được đăng trên Twitter được đăng ký là CVE-2021-21224 và có một là vôi và một là cát. Một mặt, nó là một lỗ hổng bảo mật nghiêm trọng cho phép mã được thực thi từ xa trong trình duyệt. Và, như thể vẫn chưa đủ, nhà nghiên cứu phát hiện ra nó đã đăng một khai thác chức năng trên Twitter, mà bất kỳ ai cũng có thể chọn và sửa đổi theo ý muốn. Tuy nhiên, để cuộc tấn công thành công, trình duyệt không được chạy ở chế độ hộp cát, điều mà nó luôn làm theo mặc định. Do đó, bản thân nó không thể được sử dụng nhiều. Nhưng kèm theo một lỗi khác cho phép bạn thoát khỏi hộp cát, nó có thể rất quan trọng đối với bảo mật.

Một lỗi bảo mật khác đã được sửa là CVE-2020-16009. Google hoàn toàn không cung cấp thông tin gì về lỗi này, ngoài việc thừa nhận rằng đây là một lỗ hổng đang được các hacker tích cực khai thác. Thông tin về lỗi này sẽ không được cung cấp cho đến khi hầu hết người dùng cập nhật trình duyệt của họ.

4 lỗ hổng nghiêm trọng khác đã được sửa trong bản cập nhật khẩn cấp Chrome 90 mới này là:

CVE-2021-21222 - Lỗi tràn bộ đệm trong công cụ JavaScript V8.
CVE-2021-21223 - Lỗi tràn số nguyên chế độ.
CVE-2021-21225 - Lỗi trong công cụ JavaScript V8 cho phép bộ nhớ vượt quá giới hạn.
CVE-2021-21226: Lỗi "Sử dụng sau khi miễn phí" cho phép truy cập vào dữ liệu được tạo trong phiên trình duyệt khi nó đã bị chấm dứt.

Cập nhật trình duyệt càng sớm càng tốt
Như chúng ta có thể thấy, chúng là những lỗi bảo mật nghiêm trọng mà chúng ta không nên coi đó là trò đùa. Đặc biệt là hai cách đầu tiên, vì một cái có cách khai thác công khai (và chúng có thể lừa chúng ta chạy trình duyệt mà không có hộp cát một cách dễ dàng) và cái thứ hai đang bị khai thác tích cực qua mạng. Do đó, điều quan trọng là phải cập nhật trình duyệt của chúng tôi càng sớm càng tốt.

Điều duy nhất chúng tôi phải làm để làm điều này là mở menu và nhập phần Trợ giúp> Thông tin của Google Chrome. Tại đây, chúng ta có thể thấy phiên bản của trình duyệt mà chúng ta đã cài đặt trên PC. Nếu phiên bản này là 90.0.4430.85 hoặc cao hơn, chúng tôi được bảo vệ. Nếu không, phiên bản mới sẽ được tải xuống tự động.


Chúng tôi nhớ rằng vì lỗi thuộc về Chromium nên các trình duyệt khác (chẳng hạn như Edge, Opera hoặc Vivaldi) dựa trên nó cũng bị ảnh hưởng và phải được cập nhật để bảo vệ người dùng.

Văn bản được dịch từ tiếng Tây Ban Nha sang tiếng Việt với Google Dịch
Tôi cảm thấy sự bất tiện của những từ bị dịch sai
xem phần còn lại của bài viết
 


Top