Một lỗ hổng bảo mật mới vừa bị phát hiện trên trình duyệt Google Chrome

Một lỗ hổng bảo mật mới vừa bị phát hiện trên trình duyệt Google Chrome

Một lỗ hổng bảo mật mới vừa bị phát hiện trên trình duyệt Google Chrome

Tất cả người dùng Google Chrome được khuyến cáo nên cập nhật phiên bản mới nhất của trình duyệt này, sau khi nhà nghiên cứu bảo mật Clement Lecigne của nhóm bảo mật Google’s Threat Analysis Group phát hiện một lỗ hổng nghiêm trọng ở thành phần FileReader trên Chrome vào cuối tháng trước, có thể cho phép hacker thực thi mã tùy ý từ xa và chiếm quyền kiểm soát hoàn toàn các máy tính.

Lỗ hổng với tên gọi CVE-2019-5786 ảnh hưởng đến phần mềm duyệt web cho tất cả các hệ điều hành chính bao gồm Microsoft Windows, Apple macOS và Linux. Google cảnh báo rằng lỗ hổng zero-day RCE này đang bị những kẻ tấn công tích cực khai thác nhằm nhắm mục tiêu vào người dùng Chrome.

“Quyền truy cập vào các chi tiết và liên kết lỗi có thể bị hạn chế cho đến khi phần lớn người dùng đã được cập nhật bản vá”, nhóm bảo mật Chrome lưu ý.

FileReader là một API tiêu chuẩn được thiết kế để cho phép các ứng dụng web đọc không đồng bộ nội dung của tệp (hoặc bộ đệm dữ liệu thô) được lưu trữ trên máy tính của người dùng, sử dụng các đối tượng ‘Tệp’ hoặc ‘Blob’ để chỉ định tệp hoặc dữ liệu cần đọc.

Chrome bản vá

Lỗ hổng use-after-free là một lỗ hổng cho phép phá hỏng hoặc sửa đổi dữ liệu trong bộ nhớ, cho phép chiếm kẻ tấn công quyền trên hệ thống hoặc phần mềm bị tấn công. Lỗ hổng use-after-free trong FileReader có thể cho phép những kẻ tấn công giành được quyền trên trình duyệt web Chrome, cho phép chúng tránh được lớp bảo mật sandbox và thực thi mã tùy ý trên hệ thống mục tiêu. Tất cả những gì kẻ tấn công cần làm là lừa nạn nhân mở hoặc chuyển hướng họ đến một trang web đặc biệt mà không cần bất kỳ tương tác nào nữa.

Bản vá cho lỗ hổng bảo mật đã được tung ra cho người dùng trong bản cập nhật Chrome 72.0.3626.121 cho các hệ điều hành Windows, Mac và Linux, mà người dùng có thể đã nhận hoặc sẽ sớm nhận được trong những ngày tới.

Một lỗ hổng bảo mật mới vừa bị phát hiện trên trình duyệt Google Chrome
Đánh giá bài viết này