Phát hành bản vá khẩn cấp cho lỗ hổng zero-day mới trong Chrome

Vào thứ Sáu, Google đã phát hành bản vá khẩn cấp cho trình duyệt web Chrome để vá một lỗ hổng bảo mật được cho là đã bị khai thác trong thực tế.

Có định danh là CVE-2021-37973, lỗ hổng use after free trong API Portals, một hệ thống điều hướng trang web cho phép một trang web hiển thị trang khác dưới dạng nội dung.

Nhà nghiên cứu bảo mật Clément Lecigne của Google (TAG) đã phát hiện và báo cáo lỗ hổng. Các chi tiết bổ sung liên quan đến lỗ hổng chưa được tiết lộ để tránh bị làm dụng trong các cuộc khai thác tấn công và để đa số người dùng có thể cập nhật bản vá.

Bản cập nhật được phát hành một ngày sau khi Apple đã ngăn chặn một lỗ hổng đã bị khai thác khác trong các phiên bản cũ hơn của iOS và macOS (CVE-2021-30869). Với bản cập nhật mới nhất, Google đã vá tổng cộng 12 lỗ hổng zero-day trong Chrome kể từ đầu năm 2021:

CVE-2021-21148 – Lỗ hổng tràn bộ đệm Heap trong V8

CVE-2021-21166 - Vấn đề Object recycle trong audio

CVE-2021-21193 - Lỗ hổng use-after-free trong Blink

CVE-2021-21206 - Lỗ hổng use-after-free trong Blink

CVE-2021-21220 – Lỗ hổng do thiếu kiểm tra, sàng lọc đầu vào không tin cậy trong V8 cho x86_64

CVE-2021-21224 - Lỗ hổng Type confusion trong V8

CVE-2021-30551 - Lỗ hổng Type confusion trong V8

CVE-2021-30554 - Lỗ hổng use-after-free trong WebGL

CVE-2021-30563 - Lỗ hổng Type confusion trong V8

CVE-2021-30632 - Lỗ hổng out of bounds write trong V8

CVE-2021-30633 - Lỗ hổng use-after-free trong Indexed API DB

Để giảm thiểu rủi ro liên quan đến lỗ hổng, người Chrome nên nhanh chóng kiểm tra và cập nhật lên phiên bản mới nhất của Chrome (94.0.4606.61) cho Windows, Mac và Linux bằng cách vào phần Cài đặt> Trợ giúp> 'Giới thiệu về Chrome'.

Nguồn: thehackernews.com.