Ngày 16/08/2021, Google thông báo đã phát hành bản cập nhật cho trình duyệt Chrome để vá một số lỗ hổng có mức độ nghiêm trọng và cao.
Bản cập nhật mới nhất với phiên bản Chrome 92.0.4515.159 dành cho các máy tính Windows, Mac và Linux có tổng cộng 9 bản sửa lỗi bảo mật, 7 trong số đó do các nhà nghiên cứu bên ngoài phát hiện.
Nghiêm trọng nhất trong số này là hai lỗ hổng có định danh CVE-2021-30598 và CVE-2021-30599 được Manfred Paul phát hiện và báo cáo vào tháng 7. Google đã trao thưởng cho nhà nghiên cứu này 21.000 đô la cho mỗi lỗ hổng.
Manfred Paul cho biết hai lỗ hổng này cho phép kẻ tấn công lừa người dùng đến trang web độc hại và thực thi mã tùy ý.
Hai lỗ hổng use-after-free trong Printing (CVE-2021-30600 do Leecraso và Guang Gong của 360 Alpha Lab báo cáo) và trong Extensions API (CVE-2021-30601, do koocola và Nan Wang của 360 Alpha Lab báo cáo) cũng được Google trao thưởng 20.000 đô la cho mỗi lỗ hổng.
Google vẫn chưa tiết lộ số tiền thưởng cho hai lỗ hổng use-after-free khác trong WebRTC (CVE-2021-30602) và trong ANGLE (CVE-2021-30604). Ngoài ra, một nhà nghiên cứu của Google đã báo cáo về lỗ hổng CVE-2021-30603 trong WebAudio có mức độ nghiêm trọng cao.
Trong năm nay, Google đã vá hơn 6 lỗ hổng zero-day được khai thác trong thực tế trên trình duyệt Chrome, cùng với các lỗ hổng bảo mật có thể bị khai thác thông qua các tiện ích mở rộng độc hại, đồng thời công bố một loạt các cải tiến bảo mật và quyền riêng tư trong trình duyệt.
Nguồn: securityweek.com.