Thứ Sáu vừa qua, Google đã phát hành các bản cập nhật khẩn cấp để giải quyết một lỗ hổng zero-day đang bị khai thác trong thực tế trong trình duyệt web Chrome. Đây cũng là lỗi zero-day Chrome đầu tiên được Google xử lý kể từ đầu năm.
Có định danh CVE-2023-2033, lỗ hổng được xếp ở mức cao, liên quan đến lỗi nhầm lẫn kiểu (type confusion) trong công cụ JavaScript V8. Clement Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) được ghi nhận là người đã báo cáo sự cố vào ngày 11 tháng 4 năm 2023.
National Vulnerability Database của NIST cho biết lỗi "type confusion trong V8 trong Google Chrome phiên bản trước 112.0.5615.121 có thể cho phép kẻ tấn công khai thác để gây hỏng bộ nhớ heap (heap corruption)".
Google thừa nhận rằng đã xác định được “một trường hợp khai thác CVE-2023-2033 trong thực tế”, nhưng không tiết lộ thêm các chi tiết kỹ thuật cụ thể hay các chỉ số xâm phạm (IoC) để ngăn chặn việc lỗ hổng bị khai thác nhiều hơn bởi các tác nhân đe dọa.
CVE-2023-2033 có những điểm tương đồng với CVE-2022-1096, CVE-2022-1364, CVE-2022-3723, và CVE-2022-4262 - bốn lỗi nhầm lẫn kiểu khác đã bị tin tặc lạm dụng khai thác trong V8 đã được Google khắc phục vào năm 2022. Google đã giải quyết tổng cộng chín lỗ hổng zero day trong Chrome vào năm ngoái.
Sự phát triển này diễn ra vài ngày sau khi Citizen Lab và Microsoft tiết lộ về việc khai thác một lỗ hổng hiện đã được vá trong Apple iOS bởi khách hàng của một nhà cung cấp phần mềm gián điệp có tên QuaDream để nhắm mục tiêu vào các nhà báo, các nhân vật đối lập chính trị và nhân viên của một tổ chức phi chính phủ trong năm 2021.
Người dùng nên nâng cấp lên phiên bản Chrome 112.0.5615.121 dành cho Windows, macOS và Linux để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản vá cho lỗ hổng ngay khi chúng có sẵn.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Microsoft đang cảnh báo về một chiến dịch lừa đảo nhắm vào các công ty kế toán và người khai thuế bằng mã độc truy cập từ xa cho phép truy cập trái phép vào mạng công ty.
Tín nhiệm mạng | OpenAI đã công bố ra mắt chương trình bug bounty mới để cho phép các nhà nghiên cứu bảo mật đã đăng ký tìm kiếm các lỗ hổng trong các sản phẩm của họ và được trả tiền thưởng để báo cáo chúng thông qua nền tảng bảo mật Bugcrowd.
Tín nhiệm mạng | Microsoft đã phát hành một loạt các bản cập nhật bảo mật mới để vá tổng cộng 97 lỗ hổng ảnh hưởng đến phần mềm của họ, một trong số đó đã bị khai thác trong các cuộc tấn công ransomware trong thực tế.
Tín nhiệm mạng | Yum! Brands, chủ sở hữu thương hiệu của chuỗi nhà hàng thức ăn nhanh KFC, Pizza Hut và Taco Bell, hiện đang gửi thư thông báo vi phạm dữ liệu tới những người có thông tin cá nhân bị đánh cắp trong cuộc tấn công ransomware ngày 13 tháng 1
Tín nhiệm mạng | Khoảng hơn một triệu trang web WordPress được ước tính đã bị lây nhiễm một phần mềm độc hại có tên là Balada Injector kể từ năm 2017.
Tín nhiệm mạng | Công ty PC Đài Loan MSI đã chính thức xác nhận họ là nạn nhân của một cuộc tấn công mạng nhằm vào hệ thống của mình.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
