Hôm qua, Google tiết lộ rằng họ đã vá lỗ hổng zero-day thứ mười đã bị khai thác trong năm nay.
Lỗ hổng nghiêm trọng có định danh CVE-2024-7965 và được một nhà nghiên cứu bảo mật có biệt danh TheDog báo cáo, liên quan đến vấn đề triển khai không phù hợp trong công cụ JavaScript V8 của Google Chrome, có thể cho phép kẻ tấn công từ xa khai thác lỗ hổng bộ nhớ heap thông qua một trang HTML độc hại.
Thông tin này được công bố trong bản cập nhật cho một bài đăng trên blog của công ty vào tuần trước, tiết lộ rằng họ đã khắc phục một lỗ hổng zero-day nghiêm trọng khác (CVE-2024-7971) gây ra bởi vần đề nhầm lẫn loại (type confusion) trong V8.
"Thông tin cập nhật vào ngày 26 tháng 8 năm 2024 chỉ ra việc khai thác CVE-2024-7965 trong thực tế đã được báo cáo sau bản phát hành này", công ty cho biết trong bản cập nhật ngày hôm qua.
Google đã khắc phục cả hai lỗ hổng zero-day trong phiên bản Chrome 128.0.6613.84/.85 dành cho hệ thống Windows/macOS và phiên bản 128.0.6613.84 dành cho người dùng Linux. Bản cập nhật này đã được triển khai cho tất cả người dùng trong kênh Stable Desktop kể từ thứ Tư.
Chrome sẽ tự động cập nhật khi có bản vá bảo mật, tuy nhiên, bạn cũng có thể đẩy nhanh quá trình này và áp dụng các bản cập nhật theo cách thủ công bằng cách vào menu Chrome > Trợ giúp > Giới thiệu về Google Chrome, để quá trình cập nhật hoàn tất và nhấp vào nút 'Khởi chạy lại' để cài đặt.
Google xác nhận rằng lỗ hổng CVE-2024-7971 và CVE-2024-7965 đã bị khai thác trong thực tế, tuy nhiên công ty không tiết lộ thêm thông tin về các cuộc tấn công này.
Google cho biết: "Quyền truy cập vào thông tin chi tiết về lỗ hổng và liên kết có thể bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản sửa lỗi".
"Chúng tôi cũng sẽ duy trì việc hạn chế nếu lỗ hổng tồn tại trong thư viện của bên thứ ba mà các dự án khác sử dụng nhưng vẫn chưa khắc phục được".
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | SonicWall đã phát hành bản cập nhật bảo mật để giải quyết một lỗ hổng nghiêm trọng ảnh hưởng đến các tường lửa (firewall) của họ. Việc khai thác thành công lỗ hổng có thể cho phép kẻ tấn công truy cập trái phép vào thiết bị.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện ra một loại phần mềm độc hại Android mới được gọi là Ngate, có thể chuyển tiếp dữ liệu thanh toán không tiếp xúc từ thẻ tín dụng và thẻ ghi nợ vật lý của nạn nhân đến thiết bị do kẻ tấn công kiểm soát để thực hiện các hoạt động gian lận.
Tín nhiệm mạng | Kẻ tấn công đã bắt đầu sử dụng các ứng dụng web hiện đại (PWA) để mạo danh các ứng dụng ngân hàng và đánh cắp thông tin đăng nhập từ người dùng Android và iOS.
Tín nhiệm mạng | Google đã phát hành bản cập nhật bảo mật khẩn cấp mới cho Chrome để vá lỗ hổng zero-day thứ 9 đã bị khai thác trong các cuộc tấn công trong năm nay.
Tín nhiệm mạng | Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều phiên bản GitHub Enterprise Server (GHES) có thể bị khai thác để vượt qua xác thực và chiếm quyền quản trị trên máy chủ.
Tín nhiệm mạng | Những kẻ tấn công chưa rõ danh tính đã triển khai một backdoor mới có tên Msupedge trên hệ thống Windows của một trường đại học ở Đài Loan, có khả năng là bằng cách khai thác lỗ hổng thực thi mã từ xa PHP mới được vá gần đây (CVE-2024-4577).
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
