Thứ Hai vừa qua, Google đã phát hành các bản vá bảo mật khẩn cấp để giải quyết một lỗ hổng bảo mật nghiêm trọng trong trình duyệt web Chrome mà hãng cho biết đã bị khai thác trong thực tế.
Lỗ hổng có định danh CVE-2023-4863, liên quan đến lỗi tràn bộ đệm heap (heap buffer overflow) nằm trong WebP image format, có thể dẫn đến việc thực thi mã tùy ý hoặc gây ra sự cố.
Security Engineering and Architecture (SEAR) của Apple và Citizen Lab tại Trường Munk của Đại học Toronto được ghi nhận là đã phát hiện và báo cáo lỗ hổng này vào ngày 6 tháng 9 năm 2023.
Google vẫn chưa tiết lộ thêm thông tin chi tiết về hoạt động khai thác, nhưng lưu ý rằng họ "biết rằng hoạt động khai thác CVE-2023-4863 đã tồn tại trong thực tế".
Với bản cập nhật mới nhất này, Google đã giải quyết tổng cộng 4 lỗ hổng zero-day trong Chrome kể từ đầu năm nay, 3 lỗ hổng trước đó bao gồm:
- CVE-2023-2033 (điểm CVSS: 8,8) - Type Confusion trong V8
- CVE-2023-2136 (điểm CVSS: 9,6) - Integer overflow trong Skia
- CVE-2023-3079 (điểm CVSS: 8,8) - Type Confusion trong V8
Người dùng nên nâng cấp lên phiên bản Chrome 116.0.5845.187/.188 cho Windows và 116.0.5845.187 cho macOS và Linux để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi ngay khi chúng có sẵn.
Sự phát triển này diễn ra cùng ngày Apple mở rộng các bản vá để khắc phục CVE-2023-41064 cho các thiết bị và hệ điều hành sau:
- iOS 15.7.9 và iPadOS 15.7.9 - iPhone 6s, iPhone 7, iPhone SE (thế hệ 1), iPad Air 2, iPad mini (thế hệ thứ 4) và iPod touch (thế hệ thứ 7)
- macOS Big Sur 11.7.10 và macOS Monterey 12.6.9
CVE-2023-41064 liên quan đến sự cố tràn bộ đệm trong thành phần Image I/O có thể dẫn đến việc thực thi mã tùy ý khi xử lý hình ảnh độc hại.
Theo Citizen Lab, CVE-2023-41064 được cho là đã được sử dụng cùng với CVE-2023-41061, một vấn đề xác thực trong Wallet, như một phần của chuỗi khai thác iMessage không cần nhấp chuột có tên BLASTPASS để triển khai Pegasus trên các thiết bị iPhone đã được vá đầy đủ chạy iOS 16.6.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Phiên bản Notepad++ 8.5.7 đã được phát hành với các bản vá cho nhiều lỗ hổng zero-day liên quan đến lỗi tràn bộ đệm, bao gồm một lỗi có khả năng dẫn đến việc thực thi mã bằng cách lừa người dùng mở tệp độc hại.
Tín nhiệm mạng | Phần mềm gián điệp giả mạo ứng dụng Telegram đã được phát hiện trên Cửa hàng Google Play được thiết kế để thu thập thông tin nhạy cảm từ các thiết bị Android bị xâm nhập
Tín nhiệm mạng |CISA đã cảnh báo rằng nhiều tác nhân đe dọa đang khai thác các lỗ hổng bảo mật trong Fortinet FortiOS SSL-VPN và Zoho ManagedEngine ServiceDesk Plus để giành được quyền truy cập trái phép vào các hệ thống bị ảnh hưởng
Tín nhiệm mạng | Apple đã phát hành bản cập nhật bảo mật khẩn cấp để khắc phục hai lỗ hổng zero-day mới bị khai thác trong các cuộc tấn công nhắm vào người dùng iPhone và Mac, nâng tổng số lỗ hổng zero-day bị khai thác lên 13 lỗ hổng đã được vá kể từ đầu năm nay.
Tín nhiệm mạng |Google đã phát hành các bản vá bảo mật hàng tháng cho Android để giải quyết một số lỗ hổng, bao gồm một lỗi mà hãng cho biết có thể đã bị khai thác trong thực tế.
Tín nhiệm mạng | Meta tiết lộ rằng họ đã làm gián đoạn hai trong số các hoạt động gây ảnh hưởng bí mật lớn nhất được biết đến trên thế giới từ Trung Quốc và Nga, chặn hàng nghìn tài khoản và trang trên nền tảng của họ.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
