ThreatPost đưa tin, trình duyệt Chrome của Google có một số lỗ hổng bảo mật có thể mở đường cho nhiều hình thức tấn công, bao gồm cả lỗi V8 có thể cho phép hacker tấn công từ xa (RCE) dựa trên trình duyệt của người dùng.
Được báo cáo bởi chuyên gia bảo mật Gengming Liu từ Phòng thí nghiệm Bảo mật Singular, lỗ hổng V8 (CVE-2021-21227) được đánh giá là có mức độ nghiêm trọng cao.
Tuy nhiên, Liu nói với SecurityWeek rằng mức độ đã được giảm nhẹ phần nào do kẻ tấn công không thể ra khỏi hộp cát (sand box) của Chrome, có nghĩa là kẻ tấn công không thể truy cập bất kỳ chương trình, dữ liệu và ứng dụng nào khác trên máy tính của nạn nhân.
Xem thêm: So sánh thời lượng pin trên iOS 14.4 với iOS 14.5: Người dùng iPhone có nên nâng cấp?
Do đó, hacker sẽ cần phải liên kết lỗ hổng CVE-2021-21227 với một lỗ hổng bảo mật khác để có thể xâm chiếm thành công máy tính của nạn nhân.
Nhà nghiên cứu cũng lưu ý rằng phát hiện của ông có liên quan đến các lỗ hổng V8 trước đây, hiện đã được vá (CVE-2020-16040 và CVE-2020-15965).
Dưới đây là tất cả 9 lỗ hổng bảo mật trên trình duyệt Chrome đã được Google vá lỗi thông qua bản cập nhật mới nhất.
Những lỗ hổng này không chỉ ảnh hưởng đến Chrome mà còn trên các trình duyệt khác - như Microsoft Edge - sử dụng nhân Chromium.
- CVE-2021-21227: Lỗ hổng xác thực dữ liệu không đầy đủ tồn tại trong thành phần V8.
- CVE-2021-21228: Lỗ hổng thực thi chính sách không đầy đủ tồn tại trong các tiện ích mở rộng.
- CVE-2021-21229: Lỗ hổng Incorrect-security-UI tồn tại trong các bản tải xuống.
- CVE-2021-21230: Lỗ hổng type confusion (nhầm loại) tồn tại trong thành phần V8.
- CVE-2021-21231: Lỗ hổng xác thực dữ liệu không đủ tồn tại trong thành phần V8.
- CVE-2021-21232: Lỗ hổng use-after-free tồn tại trong thành phần Công cụ phát triển. Đây là một loại lỗ hổng liên quan đến bộ nhớ, khiến cho bộ nhớ bị hỏng hoặc cho phép sửa đổi dữ liệu trong bộ nhớ, làm cho người dùng bị tước bỏ hoàn toàn các đặc quyền trên hệ thống hoặc phần mềm bị ảnh hưởng.
- CVE-2021-21233: Lỗ hổng tràn Heap tồn tại trong thành phần ANGLE.
Google đã vá các lỗ hổng trong bản phát hành mới nhất (90.0.4430.93) của mình cho Windows, Mac và Linux, được phát hành vào thứ Ba (27/4, theo giờ Mỹ).
Người dùng Chrome nên cài đặt bản cập nhật bảo mật được phát hành mới đây nhằm ngăn chặn bất kỳ cuộc tấn công nào có thể diễn ra.
Xem thêm: Cảnh báo: 9 ứng dụng độc hại trên Android người dùng cần gỡ khẩn cấp khỏi điện thoại