Hôm nay, Google đã phát hành một bản cập nhật khẩn cấp cho trình duyệt web Chrome, bao gồm các bản sửa lỗi cho hai lỗ hổng zero-day đang bị tin tặc khai thác tích cực.
Có mã định danh CVE-2021-38000 và CVE-2021-38003, hai lỗ hổng an ninh bắt nguồn từ quá trình kiểm soát không chặt chẽ dữ liệu đầu vào trong một tính năng được gọi là Intents, cũng như việc triển khai không phù hợp trong V8 JavaScript và công cụ WebAssembly. Lỗ hổng được phát hiện bởi nhóm nghiên cứu Threat Analysis Group (TAG) của Google vào ngày 15 tháng 9 năm 2021 và ngày 26 tháng 10 năm 2021.
Trong lời khuyên an ninh, “Google biết rằng việc khai thác CVE-2021-38000 và CVE-2021-38003 tồn tại trong tự nhiên“. Tuy nhiên, công ty không tiết lộ bất kỳ chi tiết kỹ thuật về cách hai lỗ hổng được sử dụng trong các cuộc tấn công.
Ngoài ra, bản cập nhật này cũng đã vá lỗ hổng use-after-free (CVE-2021-38002) được phát hiện lần đầu tiên tại cuộc thi Tianfu Cup được tổ chức vào đầu tháng này ở Trung Quốc. Với các bản vá này, Google đã giải quyết 16 lỗi 0-day trong trình duyệt web kể từ đầu năm.
Người dùng Chrome nên cập nhật lên phiên bản mới nhất (95.0.4638.69) cho Windows, Mac và Linux bằng cách đi tới Cài đặt > Trợ giúp > Giới thiệu về Google Chrome để giảm thiểu rủi ro có thể có do lỗ hổng mang lại.
Theo thehackernews