Vào thứ Sáu, Google đã phát hành bản vá khẩn cấp cho trình duyệt web Chrome để vá một lỗ hổng bảo mật được cho là đã bị khai thác trong thực tế.
Có định danh là CVE-2021-37973, lỗ hổng use after free trong API Portals, một hệ thống điều hướng trang web cho phép một trang web hiển thị trang khác dưới dạng nội dung.
Nhà nghiên cứu bảo mật Clément Lecigne của Google (TAG) đã phát hiện và báo cáo lỗ hổng. Các chi tiết bổ sung liên quan đến lỗ hổng chưa được tiết lộ để tránh bị làm dụng trong các cuộc khai thác tấn công và để đa số người dùng có thể cập nhật bản vá.
Bản cập nhật được phát hành một ngày sau khi Apple đã ngăn chặn một lỗ hổng đã bị khai thác khác trong các phiên bản cũ hơn của iOS và macOS (CVE-2021-30869). Với bản cập nhật mới nhất, Google đã vá tổng cộng 12 lỗ hổng zero-day trong Chrome kể từ đầu năm 2021:
CVE-2021-21148 – Lỗ hổng tràn bộ đệm Heap trong V8
CVE-2021-21166 - Vấn đề Object recycle trong audio
CVE-2021-21193 - Lỗ hổng use-after-free trong Blink
CVE-2021-21206 - Lỗ hổng use-after-free trong Blink
CVE-2021-21220 – Lỗ hổng do thiếu kiểm tra, sàng lọc đầu vào không tin cậy trong V8 cho x86_64
CVE-2021-21224 - Lỗ hổng Type confusion trong V8
CVE-2021-30551 - Lỗ hổng Type confusion trong V8
CVE-2021-30554 - Lỗ hổng use-after-free trong WebGL
CVE-2021-30563 - Lỗ hổng Type confusion trong V8
CVE-2021-30632 - Lỗ hổng out of bounds write trong V8
CVE-2021-30633 - Lỗ hổng use-after-free trong Indexed API DB
Để giảm thiểu rủi ro liên quan đến lỗ hổng, người Chrome nên nhanh chóng kiểm tra và cập nhật lên phiên bản mới nhất của Chrome (94.0.4606.61) cho Windows, Mac và Linux bằng cách vào phần Cài đặt> Trợ giúp> 'Giới thiệu về Chrome'.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Lỗ hổng zero-day mới trong Finder của Apple, cho phép kẻ tấn công thực thi lệnh tùy ý trên máy Mac, ảnh hưởng đến tất cả phiên bản của macOS
Tín nhiệm mạng | Phát hiện lỗ hổng trong giao thức Microsoft Autodiscover của máy chủ email Microsoft Exchange có thể dùng để thu thập thông tin đăng nhập vào ứng dụng và Windows domain từ người dùng trên toàn thế giới
Tín nhiệm mạng | Bộ Quốc phòng Litva đã kiểm tra an ninh đối với ba mẫu điện thoại thông minh do Trung Quốc sản xuất và khuyến cáo công dân nên tránh hoặc ngừng sử dụng hai trong số ba thiết bị vì lý do vi phạm quyền riêng tư và khả năng kiểm duyệt bí mật
Tín nhiệm mạng | Các hacker đang nhắm mục tiêu vào các máy chủ VMware vCenter chưa được vá lỗ hổng thực thi mã từ xa (RCE) thông qua tải lên tệp tùy ý, rất nhiều máy chủ VMware vCenter đang mở công khai trên Internet
Tín nhiệm mạng | Các quan chức Mỹ đã mở rộng cuộc điều tra đối với Binance về các vấn đề liên quan đến giao dịch nội bộ và thao túng thị trường.
Tín nhiệm mạng | Các nhóm hacker đang xâm nhập máy chủ Windows IIS để thêm các trang thông báo hết hạn chứng chỉ nhằm lừa người dùng tải xuống chương trình cài đặt giả mạo có chứa mã độc.