Google Chrome phát hành bản cập nhật khẩn cấp vá lỗ hổng zero-day được phát hiện tại Pwn2Own
Vn-Z.vn Ngày 28 tháng 03 năm 2024, Google đã phát hành bản cập nhật trình duyệt Chrome vào thứ Ba, mang số hiệu 123.0.6312.86/.87 cho phiên bản Windows, Mac và phiên bản số 123.0.6312.86 cho người dùng Linux.
Bản cập nhật trình duyệt Chrome này tập trung khắc phục 7 lỗ hổng bảo mật, trong đó có 2 lỗ hổng zero-day được phát hiện trong cuộc thi hacker Pwn2Own Vancouver 2024.
Một trong những lỗ hổng zero-day là CVE-2024-2887, tồn tại chủ yếu trong tiêu chuẩn mở WebAssembly (Wasm) và là lỗ hổng gây nhầm lẫn có mức độ nghiêm trọng cao.
Chuyên gia bảo mật Manfred Paul đã khai thác lỗ hổng này tạo một trang HTML có thể kích hoạt các cuộc tấn công thực thi mã từ xa sau khi người dùng bị nhiễm virus.
Lỗ hổng zero-day thứ hai có mã CVE-2024-2886, được công bố vào ngày thứ hai của cuộc thi Pwn2Own bởi Seunghyun Lee từ đội KAIST Hacking Lab .
Lỗ hổng này thuộc loại use-after-free, chủ yếu tồn tại trong API WebCodecs, nhiều ứng dụng web sẽ gọi API này để mã hóa và giải mã nội dung âm thanh và video, kẻ tấn công từ xa có thể tận dụng lỗ hổng này thông qua một trang HTML được tạo ra một cách tỉ mỉ để thực hiện bất kỳ hoạt động đọc / ghi nào.
Một trong những lỗ hổng zero-day là CVE-2024-2887, tồn tại chủ yếu trong tiêu chuẩn mở WebAssembly (Wasm) và là lỗ hổng gây nhầm lẫn có mức độ nghiêm trọng cao.
Chuyên gia bảo mật Manfred Paul đã khai thác lỗ hổng này tạo một trang HTML có thể kích hoạt các cuộc tấn công thực thi mã từ xa sau khi người dùng bị nhiễm virus.
Lỗ hổng zero-day thứ hai có mã CVE-2024-2886, được công bố vào ngày thứ hai của cuộc thi Pwn2Own bởi Seunghyun Lee từ đội KAIST Hacking Lab .
Lỗ hổng này thuộc loại use-after-free, chủ yếu tồn tại trong API WebCodecs, nhiều ứng dụng web sẽ gọi API này để mã hóa và giải mã nội dung âm thanh và video, kẻ tấn công từ xa có thể tận dụng lỗ hổng này thông qua một trang HTML được tạo ra một cách tỉ mỉ để thực hiện bất kỳ hoạt động đọc / ghi nào.
