Thứ ba vừa qua, Google đã phát hành các bản vá bảo mật cho trình duyệt Chrome dành cho máy tính để bàn để ngăn chặn lỗ hổng zero-day mức cao đã bị khai thác trong thực tế.
Có định danh CVE-2022-2856, lỗ hổng phát sinh do thiếu kiểm tra xác thực dữ liệu đầu vào không tin cậy trong Intents. Nhà nghiên cứu bảo mật Ashley Shen và Christian Resell thuộc Nhóm phân tích mối đe dọa của Google đã phát hiện và báo cáo lỗ hổng vào ngày 19/7/2022.
Google cho biết đã phát hiện một khai thác CVE-2022-2856 trong thực tế và sẽ không tiết lộ chi tiết cụ thể về lỗ hổng cho đến khi phần lớn người dùng đã cập nhật bản vá.
Bản cập nhật mới nhất này cũng khắc phục 10 lỗ hổng bảo mật khác, bao gồm một lỗ hổng tràn bộ đệm heap trong Downloads. Hầu hết các lỗ hổng liên quan đến lỗi use-after-free trong các thành phần khác nhau như FedCM, SwiftShader, ANGLE và Blink.
Đây cũng lỗ hổng zero-day thứ năm trong Chrome mà Google đã giải quyết kể từ đầu năm nay, bốn lỗ hổng trước gồm có:
- CVE-2022-0609: Lỗ hổng Use-after-free trong Animation
- CVE-2022-1096 và CVE-2022-1364: lỗ hổng Type confusion trong V8
- CVE-2022-2294: Lỗ hổng tràn bộ đệm trong WebRTC
Bạn nên cập nhật lên phiên bản 104.0.5112.101 cho macOS và Linux hay 104.0.5112.102/101 cho Windows để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi nên thường xuyên kiểm tra và áp dụng các bản vá ngay khi chúng có sẵn.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Apple đã phát hành bản cập nhật bảo mật cho các nền tảng iOS, iPadOS, và macOS để khắc phục hai lỗ hổng zero-day có thể đã bị khai thác trong thực tế.
Tín nhiệm mạng | Các nhà nghiên cứu đã phát hiện các lỗ hổng mới cho phép kẻ tấn công lấy được khóa mã hóa và các thông tin bí mật khác từ bộ xử lý Intel và AMD.
Tín nhiệm mạng | Signal cho biết cuộc tấn công mạng nhằm vào Twilio vào đầu tháng này có thể đã làm lộ số điện thoại của khoảng 1.900 người dùng Signal.
Tín nhiệm mạng | Các lỗ hổng bảo mật được tiết lộ gần đây trong các mẫu Xiaomi Redmi Note 9T và Redmi Note 11 có thể bị lợi dụng để vô hiệu hóa cơ chế thanh toán di động và giả mạo các giao dịch thanh toán.
Tín nhiệm mạng | Hai lỗ hổng trong Zimbra Collaboration đã được thêm vào Danh mục các lỗ hổng được khai thác đã biết, có thể được kết hợp với nhau để đạt được thực thi mã từ xa mà không cần xác thực trên các máy chủ email bị ảnh hưởng
Tín nhiệm mạng | Cisco xác nhận nhóm ransomware Yanluowang đã xâm phạm mạng công ty vào cuối tháng 5 và đe dọa tống tiền công ty nếu không muốn dữ liệu bị đánh cắp bị lộ trực tuyến.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
