Google đã phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome để giải quyết một lỗ hổng zero-day có độ nghiêm trọng mức cao đã bị khai thác trong các cuộc tấn công.
Bản vá này được đưa ra chỉ ba ngày sau khi Google giải quyết một lỗ hổng zero-day khác trong Chrome, CVE-2024-4671, do lỗi use-after-free trong thành phần Visuals gây ra.
Lỗ hổng mới nhất có định danh CVE-2024-4761, liên quan đến vấn đề out-of-bounds write, ảnh hưởng đến JavaScript V8 của Chrome, công cụ chịu trách nhiệm thực thi mã JS trong ứng dụng.
Sự cố out-of-bounds write xảy ra khi một chương trình được phép ghi dữ liệu bên ngoài mảng hoặc bộ đệm đã chỉ định, có khả năng dẫn đến việc truy cập dữ liệu trái phép, thực thi mã tùy ý hoặc khiến chương trình bị treo.
“Google biết rằng hoạt động khai thác CVE-2024-4761 đang tồn tại trong thực tế,” tư vấn bảo mật cho biết.
Công ty đã giải quyết vấn đề bảo mật bằng việc phát hành phiên bản 124.0.6367.207/.208 cho Mac/Windows và 124.0.6367.207 cho Linux. Các bản cập nhật sẽ được triển khai cho tất cả người dùng trong những ngày/tuần tới.
Đối với những người dùng kênh 'Ổn định mở rộng' (Extended Stable), các bản vá sẽ có sẵn trong phiên bản 124.0.6367.207 dành cho Mac và Windows.
Người dùng nên cập nhật trình duyệt ngay khi bản vá có sẵn để giảm thiểu các rủi ro tiềm ẩn.
Lỗ hổng zero-day thứ sáu bị khai thác trong năm nay
Lỗ hổng mới nhất này của Google Chrome là lỗi zero-day thứ sáu được phát hiện và khắc phục trong trình duyệt Chrome kể từ đầu năm.
Công ty cho biết rằng một nhà nghiên cứu ẩn danh đã báo cáo lỗ hổng vào ngày 9 tháng 5 năm 2024, nhưng không tiết lộ thông tin chi tiết nào vào thời điểm này để tránh việc lỗ hổng bị lạm dụng nhiều hơn.
“Quyền truy cập vào chi tiết lỗi và thông tin liên quan có thể bị hạn chế cho đến khi phần lớn người dùng đã cập nhật bản vá. Chúng tôi cũng sẽ tiếp tục hạn chế nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác sử dụng nhưng vẫn chưa được khắc phục”, Google cho biết.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Kể từ tháng 4, hàng triệu email lừa đảo đã được gửi qua mạng botnet Phorpiex để thực hiện chiến dịch ransomware LockBit Black quy mô lớn.
Một nhóm tin tặc đã sở hữu quyền truy cập vào số lượng lớn thông tin của bệnh nhân và đội ngũ nhân viên tại bệnh viện NHS Dumfries & Galloway (nay thuộc Scotland, Anh) sau một cuộc tấn công mạng vào thời điểm đầu tháng 3.
Mới đây, tại Kerala (Ấn Độ), một bác sĩ 53 tuổi đã bị lừa mất 34 triệu rupee (~10 tỷ 4 VNĐ) thông qua hình thức giao dịch chứng khoán trực tuyến.
Tín nhiệm mạng | CISA và FBI tiết lộ rằng băng đảng ransomware Black Basta đã xâm phạm hơn 500 tổ chức trong khoảng thời gian từ tháng 4 năm 2022 đến tháng 5 năm 2024.
Ngày 9/5, Công an tỉnh Thái Nguyên cho biết, Cơ quan Cảnh sát điều tra Công an tỉnh vừa khởi tố đối với 8 đối tượng về tội "Cưỡng đoạt tài sản", với thủ đoạn mượn danh, mạo danh cộng tác viên, phóng viên của một số báo, tạp chí để đe dọa người khác chiếm đoạt tài sản.
Công an quận Hà Đông, thành phố Hà Nội đang điều tra, xác minh vụ giả danh cán bộ Công an, lừa đảo chiếm đoạt tài sản với số tiền 15 tỷ đồng.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
