Cập nhật trình duyệt Google Chrome để vá các lỗi bảo mật nghiêm trọng

Google mới đây đã phát hành bản cập nhật phần mềm khẩn cấp cho trình duyệt web Chrome của mình, đồng thời kêu gọi người dùng Windows, Mac và Linux nâng cấp ứng dụng lên phiên bản mới nhất càng sớm càng tốt.



Chính thức được tung ra cho người dùng trên toàn thế giới vào thứ Tư tuần này, phiên bản Chrome 77.0.3865.90 chứa các bản vá bảo mật cho 1 lỗ hổng “sống còn” (critical) và 3 lỗ hổng bảo mật mức độ nghiêm trọng cao (high-risk security vulnerability). Đáng chú ý, lỗ hổng nghiêm trọng nhất có thể cho phép tin tặc từ xa kiểm soát hệ thống bị ảnh hưởng.



Chưa tiết lộ chi tiết các lỗ hổng trong Google Chrome



Google đã quyết định giữ bí mật chi tiết của cả bốn
lỗ hổng này, ít nhất là trong khoảng vài ngày nữa để ngăn chặn khả năng tin tặc
có thể khai thác chúng, đồng thời cho người dùng đủ thời gian để cài đặt bản cập
nhật Chrome.



Hiện tại, nhóm bảo mật Chrome chỉ tiết lộ rằng cả bốn lỗ hổng đều là các vấn đề use-after-free trong các thành phần khác nhau của trình duyệt web.



Như đã đề cập ở trên, lỗ hổng
nghiêm trọng nhất có thể cho phép tin tặc thực hiện các cuộc tấn công thực thi
mã từ xa. Lỗ hổng use-after-free này là một lỗi hỏng bộ nhớ cho phép làm hỏng
hoặc sửa đổi dữ liệu trong bộ nhớ, khiến cho người dùng không có đặc quyền có
thể leo thang đặc quyền trên các hệ thống hoặc phần mềm bị ảnh hưởng.




Các lỗ hổng đã được vá trong Chrome 77.0.3865.90




Lỗ hổng use-after-free trong giao diện người dùng (CVE-2019-13685) – Báo cáo bởi Khalil Zhani
Lỗ hổng use-after-free trong media (CVE-2019-13688) – Báo cáo bởi Man Yue Mo thuộc Nhóm nghiên cứu bảo mật Semmle
Lỗ hổng use-after-free trong media (CVE-2019-13687) – Báo cáo bởi Man Yue Mo thuộc Nhóm nghiên cứu bảo mật Semmle
Lỗ hổng use-after-free trong các trang ngoại tuyến (CVE-2019-13686) – Báo cáo bởi Brendon Tiszka

Google đã trả tổng cộng 40.000 đô la tiền thưởng
cho Man Yue Mo thuộc Nhóm nghiên cứu Semmle nhờ những phát hiện và báo cáo về
hai lỗ hổng bảo mật nghiêm trọng, trong đó 20.000 đô la dành cho cho những phát
hiện đối với lỗ hổng CVE-2019-13687 và 20.000 đô la còn lại cho lỗ hổng CVE-2019-13688.
Vẫn chưa có quyết định cuối cùng về khoản tiền thưởng dành cho những phát hiện
của các nhà nghiên cứu với 2 lỗ hổng còn lại.



Các lỗ hổng cho phép thực thi mã tùy ý



Một khi khai thác thành công, các lỗ hổng này có thể
cho phép kẻ tấn công thực thi mã tùy ý trong bối cảnh trình duyệt, chỉ bằng
cách thuyết phục nạn nhân mở hoặc chuyển hướng đến một trang web được chế tạo đặc
biệt trên trình duyệt Chrome chứa lỗ hổng mà không cần thêm bất kỳ tương tác
nào khác.



Dựa trên các tiết lộ trước đó, các lỗ hổng use-after-free
kể trên cũng có thể dẫn đến việc tiết lộ thông tin nhạy cảm, bỏ qua các hạn chế
bảo mật, cho phép thực hiện các hành động trái phép hoặc gây ra tình trạng từ
chối dịch vụ – tùy thuộc vào các đặc quyền liên quan đến ứng dụng.



Mặc dù Google Chrome sẽ tự động thông báo cho người
dùng về các phiên bản mới nhất có sẵn, nhưng người dùng vẫn được khuyến nghị
kích hoạt thủ công quá trình cập nhật bằng cách truy cập vào Trợ giúp (Help)
→ Về Google Chrome (About Google Chrome) từ menu của trình
duyệt.



Bên cạnh đó, bạn cũng nên chạy tất cả các phần mềm trên hệ thống của mình với tư cách của một người dùng không có đặc quyền bất cứ khi nào có thể, để giảm bớt tác động của các cuộc tấn công khai thác lỗ hổng zero-day. Chúng tôi sẽ cập nhật thêm thông tin về các lỗ hổng bảo mật này ngay khi Google chính thức công bố các chi tiết kỹ thuật.



THN
The post Cập nhật trình duyệt Google Chrome để vá các lỗi bảo mật nghiêm trọng appeared first on SecurityDaily .