🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Liên đoàn Lao động tỉnh Bà Rịa - Vũng Tàu đã đăng ký tín nhiệm. 🔥                    🔥 Công an thành phố Thái Nguyên đã đăng ký tín nhiệm. 🔥                    🔥 Sở Kế hoạch và Đầu tư tỉnh Đắk Lắk đã đăng ký tín nhiệm. 🔥                   

Google phát hành bản vá khẩn cấp cho Chrome để khắc phục lỗ hổng mới, đã bị khai thác trong thực tế. Cập nhật ngay!

12/09/2023

Thứ Hai vừa qua, Google đã phát hành các bản vá bảo mật khẩn cấp để giải quyết một lỗ hổng bảo mật nghiêm trọng trong trình duyệt web Chrome mà hãng cho biết đã bị khai thác trong thực tế.

Lỗ hổng có định danh CVE-2023-4863, liên quan đến lỗi tràn bộ đệm heap (heap buffer overflow) nằm trong WebP image format, có thể dẫn đến việc thực thi mã tùy ý hoặc gây ra sự cố.

Security Engineering and Architecture (SEAR) của Apple và Citizen Lab tại Trường Munk của Đại học Toronto được ghi nhận là đã phát hiện và báo cáo lỗ hổng này vào ngày 6 tháng 9 năm 2023.

Google vẫn chưa tiết lộ thêm thông tin chi tiết về hoạt động khai thác, nhưng lưu ý rằng họ "biết rằng hoạt động khai thác CVE-2023-4863 đã tồn tại trong thực tế".

Với bản cập nhật mới nhất này, Google đã giải quyết tổng cộng 4 lỗ hổng zero-day trong Chrome kể từ đầu năm nay, 3 lỗ hổng trước đó bao gồm:

- CVE-2023-2033 (điểm CVSS: 8,8) - Type Confusion trong V8

- CVE-2023-2136 (điểm CVSS: 9,6) - Integer overflow trong Skia

- CVE-2023-3079 (điểm CVSS: 8,8) - Type Confusion trong V8

Người dùng nên nâng cấp lên phiên bản Chrome 116.0.5845.187/.188 cho Windows và 116.0.5845.187 cho macOS và Linux để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi ngay khi chúng có sẵn.

Sự phát triển này diễn ra cùng ngày Apple mở rộng các bản vá để khắc phục CVE-2023-41064 cho các thiết bị và hệ điều hành sau:

- iOS 15.7.9 và iPadOS 15.7.9 - iPhone 6s, iPhone 7, iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ thứ 4) và iPod touch (thế hệ thứ 7)

- macOS Big Sur 11.7.10 và macOS Monterey 12.6.9

CVE-2023-41064 liên quan đến sự cố tràn bộ đệm trong thành phần Image I/O có thể dẫn đến việc thực thi mã tùy ý khi xử lý hình ảnh độc hại.

Theo Citizen Lab, CVE-2023-41064 được cho là đã được sử dụng cùng với CVE-2023-41061, một vấn đề xác thực trong Wallet, như một phần của chuỗi khai thác iMessage không cần nhấp chuột có tên BLASTPASS để triển khai Pegasus trên các thiết bị iPhone đã được vá đầy đủ chạy iOS 16.6.

Nguồn: thehackernews.com.

scrolltop