Thứ Hai tuần này, Google đã phát hành các bản cập nhật bảo mật khẩn cấp để vá một lỗ hổng nghiêm trọng trong trình duyệt web Chrome mà hãng cho biết là đang bị khai thác trong thực tế.
Lỗ hổng có định danh CVE-2023-3079, liên quan đến lỗi nhầm lẫn kiểu (type confusion) trong công cụ JavaScript V8. Clement Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) được ghi nhận là người đã báo cáo sự cố vào ngày 1 tháng 6 năm 2023.
Theo National Vulnerability Database (NVD) của NIST: "Nhầm lẫn kiểu trong V8 trong Google Chrome phiên bản trước 114.0.5735.110 cho phép kẻ tấn công từ xa có thể khai thác heap corruption". Điều này có thể dẫn đến các hành vi không mong muốn hoặc gây mất dữ liệu.
Như thường lệ, Google không tiết lộ thêm bất kỳ chi tiết nào về bản chất của các cuộc tấn công, nhưng công ty lưu ý rằng họ đã nhận thấy "hành động khai thác CVE-2023-3079 trong thực tế".
Google đã giải quyết tổng cộng ba lỗ hổng zero-day bị khai thác trong thực tế trong Chrome kể từ đầu năm nay, hai lỗ hổng trước đó bao gồm:
- CVE-2023-2033 (Điểm CVSS: 8,8) - Type Confusion trong V8
- CVE-2023-2136 (Điểm CVSS: 9,6) - Integer overflow trong Skia
Người dùng nên nâng cấp trình duyệt Chrome lên phiên bản 114.0.5735.110 cho Windows và 114.0.5735.106 cho macOS và Linux để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên thường xuyên kiểm tra và áp dụng các bản sửa lỗi ngay khi chúng có sẵn.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Google đã xóa khỏi Cửa hàng Chrome 32 tiện ích độc hại được thiết kế thay đổi kết quả tìm kiếm và hiển thị kết quả độc hại lên đầu hoặc hiển thị các quảng cáo không mong muốn. Các tiện ích độc hại này đã có tổng số lượt tải xuống là 75 triệu.
Tín nhiệm mạng | Atomic Wallet đang điều tra các báo cáo về hành vi trộm cắp tiền điện tử quy mô lớn từ ví của người dùng, với hơn 35 triệu đô la tiền điện tử được báo cáo là đã bị đánh cắp.
Tín nhiệm mạng | Một chiến dịch mới liên quan đến mã độc botnet Hotabot đã nhắm mục tiêu đến những người nói tiếng Tây Ban Nha ở Mỹ Latinh kể từ ít nhất là tháng 11 năm 2020 để lây nhiễm banking trojan và công cụ spam thư điện tử.
Tín nhiệm mạng | Amazon sẽ trả 30 triệu đô la tiền phạt để giải quyết các cáo buộc vi phạm quyền riêng tư liên quan đến hoạt động của dịch vụ Ring và trợ lý ảo Alexa.
Tín nhiệm mạng | Một nhà nghiên cứu đã công bố mã khai thác cho một lỗ hổng thực thi mã từ xa ảnh hưởng đến thư viện Python phổ biến ReportLab Toolkit.
Tín nhiệm mạng | Một tác nhân đe dọa đang tìm kiếm trên internet các máy chủ đang chạy Apache NiFi không được bảo vệ để lén lút cài đặt một công cụ khai thác tiền điện tử và tạo điều kiện cho việc lây lan trên mạng.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
