Mới đây, Giám đốc Kỹ thuật và bảo mật của Google Chrome, Justin Schuh, đã cảnh báo người dùng rằng họ nên cập nhật phiên bản mới nhất cho trình duyệt web phổ biến nhất hiện nay ngay khi có thể.

Trên thực tế, Nhóm Phân Tích Mối Đe Dọa Của Google đã xác định lỗ hổng zero-day tại Chrome đã bị rõ rỉ và được khai thác tích cực bởi những kẻ tấn công. Lỗ hổng này có tên là CVE-2019-5786, và gây ảnh hưởng trực tiếp đến nền tảng Chrome đang hoạt động trên hầu hết các hệ điều hành phổ biến như Windows, macOS, Linux. Đó cũng chính là nguyên nhân vì sao các chuyên gia khuyên bạn nên cập nhật Google Chrome của mình lên phiên bản mới nhất ngay lập tức.

 

Lỗi bảo mật use-after-free của Chrome

Hiện Threat Analysis Group vẫn chưa tiết lộ thêm các thông tin chi tiết mang tính kỹ thuật về lỗ hổng này mà chỉ thông báo rằng về bản chất đây là một lỗ hổng use-after-free (UAF) xuất hiện trong thành phần FileReader cho phép kẻ tấn công thực thi mã từ xa, nhắm mục tiêu vào người dùng Chrome, đặc biệt là những người vốn không có nhiều kiến thức về bảo mật.

UAF là lỗ hổng liên quan đến bộ nhớ, phá vỡ cấu trúc và sửa đổi các thông tin trong bộ nhớ thực thi của Chrome, từ đó chiếm quyên thực thi, điều khiển máy tính người dùng từ xa. Lỗ hổng UAF trong FileReader có thể cho phép hacker vốn không có quyền truy cập lại có thể giành được các quyền quan trọng trên chính trình duyệt Chrome của người dùng, giúp chúng thoát khỏi những biện pháp bảo vệ từ sandbox và tùy ý thực thi mã trên hệ thống được nhắm mục tiêu.

Về cơ bản, để khai thác lỗ hổng này, tất cả những gì tin tặc cần làm là hướng người dùng mở hoặc chuyển hướng đến một trang web được thiết kế đặc biệt mà không cần bất kỳ tương tác nào khác nữa. Do vậy, việc nạn nhân bị sập bẫy bởi lỗ hổng này là điều cực kì dễ dàng.

 

Vá lỗ hổng bảo mật Google Chrome

May mắn thay, đây là vấn đề hoàn toàn có thể khắc phục, chỉ cần đảm bảo rằng bạn sẽ làm điều đó ngay khi đọc xong bài viết này. Bản vá cho lỗ hổng bảo mật này hiện đã được tung ra cho người dùng Chrome trong bản cập nhật ổn định mã 72.0.3626.121.

Travis Biehn, chiến lược gia kỹ thuật và trưởng nhóm nghiên cứu tại Synopsys cho biết “Google Chrome là một trong những phần mềm mạnh mẽ nhất trên hành tinh được thiết kế từ các đoạn mã C và C ++, và được lập trình bởi các nhóm bảo mật thuộc đẳng cấp thế giới”. Vì vậy, để giữ an toàn, hãy đảm bảo hệ thống của bạn đang chạy phiên bản cập nhật mới nhất của trình duyệt web Chrome. VSEC sẽ cập nhật bài viết ngay khi Google công bố chi tiết kỹ thuật về lỗ hổng kĩ thuật này.

No Comments
Post a Comment