Google đã phát hành Chrome 91.0.4472.101 dành cho Windows, Mac và Linux để sửa 14 lỗ hổng bảo mật, với lỗ hổng zero-day được khai thác trong tự nhiên và được theo dõi là CVE-2021-30551.
Google Chrome 91.0.4472.101 đã bắt đầu ra mắt trên toàn thế giới và sẽ có sẵn cho tất cả người dùng trong những ngày tới.
Google Chrome sẽ cố gắng tự động cập nhật trình duyệt vào lần tiếp theo khi bạn khởi động chương trình, nhưng bạn có thể thực hiện cập nhật thủ công bằng cách đi tới Cài đặt> Trợ giúp> 'Giới thiệu về Google Chrome
Sáu ngày không khai thác Chrome trong tự nhiên vào năm 2021
Hiện có rất ít thông tin chi tiết về lỗ hổng zero-day ngày nay, ngoài việc nó là một lỗi nhầm lẫn kiểu trong V8, công cụ mã nguồn mở và C ++ WebAssembly và JavaScript của Google.
Lỗ hổng được phát hiện bởi Sergei Glazunov của Google Project Zero và đang được truy tìm là CVE-2021-30551.
Google tuyên bố rằng họ "biết rằng việc khai thác CVE-2021-30551 đang tồn tại trong tự nhiên."
Shane Huntley, Giám đốc Nhóm Phân tích Đe dọa của Google, nói rằng số 0 ngày này đã được sử dụng bởi chính các tác nhân đe dọa đã sử dụng Windows zero day CVE-2021-33742 được Microsoft sửa hôm qua.
Bản cập nhật hôm nay sửa lỗi ngày thứ sáu không bị khai thác trong các cuộc tấn công của Google Chrome trong năm nay và năm ngày khác được liệt kê bên dưới:
CVE-2021-21148 - 4 tháng 2, 2021
CVE-2021-21166 - 2 tháng 3 năm 2021
CVE-2021-21193 - 12 tháng 3 năm 2021
CVE-2021-21220 - 13 tháng 4 năm 2021
CVE-2021-21224 - 20 tháng 4 năm 2021
Ngoài các lỗ hổng này, ngày hôm qua còn có tin tức cho biết một nhóm các tác nhân đe dọa được gọi là Puzzlemaker đang xâu chuỗi các lỗi zero-day của Google Chrome để thoát khỏi hộp cát của trình duyệt và cài đặt phần mềm độc hại trên Windows.
Các nhà nghiên cứu cho biết: "Một khi những kẻ tấn công đã sử dụng cả khai thác Chrome và Windows để có được chỗ đứng trong hệ thống mục tiêu, mô-đun dàn dựng sẽ tải xuống và chạy một phần mềm nhỏ giọt phần mềm độc hại phức tạp hơn từ máy chủ từ xa".
Hôm qua, Microsoft đã sửa các lỗ hổng Windows như một phần của bản vá tháng 6 năm 2021 vào thứ Ba, nhưng Kaspersky không thể xác định lỗ hổng Google Chrome nào đã được sử dụng trong các cuộc tấn công Puzzlemaker.
Kaspersky tin rằng những kẻ tấn công có thể đã sử dụng lỗ hổng CVE-2021-21224 của Google Chrome, nhưng họ không loại trừ việc sử dụng các lỗ hổng zero-day khác của Chrome.
Văn bản được dịch từ tiếng Tây Ban Nha sang tiếng Việt với Google Dịch
Tôi cảm thấy sự bất tiện của những từ bị dịch sai
xem phần còn lại của bài viết