Mới đây, Google vừa tung ra một bản cập nhật cho trình duyệt Chrome (Windows, Mac và Linux) để vá bốn lỗ hổng bảo mật. Trong số này bao gồm một lỗ hổng zero-day nghiêm trọng đang bị hacker tích cực khai thác.
Với mã định danh là CVE-2021-30554, lỗ hổng mới này có mức độ nghiêm trọng cao. Lỗ hổng này thuộc dạng "use after free" xuất phát từ điểm yếu của WebGL (hay còn gọi là thư viện đồ họa web), một API JavaScript để hiển thị đồ họa 2D và 3D tương tác trong trình duyệt.
Xem thêm: 'Apple đã tạo ra chiếc smartphone Android tệ nhất năm 2021'
("Use after free" là lỗ hổng liên quan đến bộ nhớ. Hacker có thể khai thác lỗ hổng này để phá vỡ cấu trúc và sửa đổi dữ liệu trong bộ nhớ thực thi của Chrome, từ đó chiếm quyền và thực hiện các cuộc tấn công thực thi mã từ xa trên máy tính hoặc phần mềm của nạn nhân bị ảnh hưởng.)
Việc khai thác thành công lỗ hổng này có thể dẫn đến việc thực thi mã tùy ý trên các máy tính chạy phiên bản Chrome chưa được vá.
Mặc dù Google nói rằng họ biết về trường hợp khai thác lỗ hổng CVE-2021-30554, nhưng họ đã không chia sẻ thông tin liên quan đến các cuộc tấn công này.
"Quyền truy cập vào chi tiết lỗi và liên kết có thể bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản sửa lỗi", công ty cho biết. "Chúng tôi cũng sẽ giữ không công bố nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác phụ thuộc vào tương tự nhưng chưa được khắc phục."
Bản cập nhật này cũng vá 3 lỗi bảo mật nghiêm trọng tồn tại ở phần Sharing (chia sẻ), WebAudio, and TabGroups của Chrome, với các mã định danh lần lượt là CVE-2021-30555, CVE-2021-30556, and CVE-2021-30557.
Đây là lỗ hổng zero-day thứ bảy được tìm thấy trên Google Chrome kể từ đầu năm đến nay. Sáu lỗ hổng trước đó bao gồm:
– CVE-2021-21148 - ngày 4 tháng 2 năm 2021
– CVE-2021-21166 - ngày 2 tháng 3 năm 2021
– CVE-2021-21193 - ngày 12 tháng 3 năm 2021
– CVE-2021-21220 - ngày 13 tháng 4 năm 2021
– CVE-2021-21224 - ngày 20 tháng 4 năm 2021
– CVE-2021-30551 - ngày 9 tháng 6 năm 2021.
Google khuyến cáo người dùng nên sớm cập nhật lên phiên bản Chrome 91.0.4472.114 để vá những lỗ hổng bảo mật nghiêm trọng kể trên.
Xem thêm: Phát hiện điểm yếu bảo mật nguy hiểm trong ứng dụng Android được cài trên 5 tỷ thiết bị