Thứ Hai vừa qua, Google đã phát hành các bản cập nhật bảo mật để giải quyết lỗ hổng zero-day mức cao trong trình duyệt web Chrome mà họ cho là đang bị khai thác trong thực tế.
Lỗ hổng có định danh CVE-2022-2294, liên quan đến vấn đề tràn heap (heap overflow) trong thành phần WebRTC cung cấp khả năng truyền âm thanh và video thời gian thực trong trình duyệt mà không cần cài đặt plugin hoặc tải xuống các ứng dụng khác.
Heap buffer overflow xảy ra khi dữ liệu bị ghi đè trong bộ nhớ heap, dẫn đến thực thi mã tùy ý hoặc gây từ chối dịch vụ (DoS).
MITER giải thích rằng: “Các lỗ hổng tràn Heap có thể được lợi dụng để ghi đè các con trỏ hàm trong bộ nhớ, khiến nó trỏ tới đoạn mã của kẻ tấn công để thực thi nó". Điều này thường có thể được sử dụng để phá vỡ bảo mật của bất kỳ dịch vụ nào."
Jan Vojtesek đến từ nhóm Avast Threat Intelligence, đã báo cáo lỗ hổng vào ngày 1 tháng 7 năm 2022, cho biết lỗ hổng này cũng ảnh hưởng đến phiên bản Android của Chrome.
Chi tiết liên quan đến lỗ hổng cũng như các thông tin cụ thể khác liên quan đến chiến dịch tấn công không được tiết lộ cho đến khi hầu hết người dùng đã cập nhật bản vá nhằm ngăn chặn việc lạm dụng khai thác nhiều hơn.
CVE-2022-2294 là lỗ hổng zero-day thứ tư trong Chrome được giải quyết trong năm nay, 3 zero-day khác bao gồm:
- CVE-2022-0609: Lỗ hổng Use-after-free trong Animation
- CVE-2022-1096& CVE-2022-1364 : Lỗ hổng Type confusion trong V8
Người dùng nên cập nhật lên phiên bản 103.0.5060.114 dành cho Windows, macOS và Linux và 103.0.5060.71 cho Android để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản vá lỗ hổng khi chúng có sẵn.
Tiết lộ này được đưa ra sau khi Google Project Zero cho biết tổng cộng có 18 lỗ hổng bảo mật đã bị khai thác dưới dạng zero-day chưa được vá trong năm nay.
Nguồn: thehackernews.com.
Tín nhiệm mạng | HackerOne đã tiết lộ rằng một nhân viên của họ đã truy cập không đúng cách vào các báo cáo lỗ hổng bảo mật được gửi cho công ty vì mục đích thu lợi cá nhân.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã tiết lộ chi tiết kỹ thuật và mã khai thác cho CVE-2022-28219
Tín nhiệm mạng | Google đã công bố một loạt cải tiến đối với dịch vụ quản lý mật khẩu (password manager) của mình nhằm tạo ra giao diện nhất quán hơn trên các nền tảng khác nhau.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện một phần mềm độc hại đánh cắp thông tin mới nhắm mục tiêu vào những người sáng tạo nội dung YouTube bằng cách đánh cắp cookie xác thực của họ.
Tín nhiệm mạng | Lỗ hổng mới trong tiện ích UnRAR của RARlab có thể bị khai thác để thực thi mã tùy ý trên các hệ thống bị ảnh hưởng, bao gồm máy chủ Zimbra Webmail.
Tín nhiệm mạng | Microsoft đã xác nhận các sự cố kết nối Internet ảnh hưởng đến các máy chủ RRAS sau khi cài đặt các bản cập nhật Windows được phát hành trong Patch Tuesday của tháng này.