Google mới phát hành các bản vá lỗi cho 5 lỗ hổng bảo mật của trình duyệt web Chrome vào ngày 12/12/2021, trong đó có một lỗ hổng bảo mật mà họ cho rằng đang bị khai thác ngoài thế giới thực, khiến nó trở thành điểm yếu thứ 17 được tiết lộ kể từ đầu năm 2021.
Lỗ hổng này có tên là CVE-2021-4102, liên quan đến một lỗi trong lõi V8 JavaScript và WebAssembly của chrome, có thể gây ra những hậu quả nghiêm trọng, từ khả năng làm hỏng dữ liệu hợp lệ đến bị thực thi mã tùy ý. Một chuyên gia an toàn thông tin ẩn danh đã được ghi nhận là người phát hiện và báo cáo lỗ hổng.
Hiện tại, vẫn chưa biết điểm yếu bị lạm dụng như thế nào trong các cuộc tấn công trong thế giới thực, nhưng gã khổng lồ internet đã đưa ra một tuyên bố ngắn gọn rằng, "họ biết CVE-2021-4102 đamg bị khai thác để tấn công vào trình duyệt chrome ngoài thế giới thực" Phát ngôn này nhằm cố gắng đảm bảo rằng phần lớn người dùng sẽ cập nhật bản sửa lỗi để ngăn chặn việc bị khai thác thêm bởi các tác nhân đe dọa khác.
CVE-2021-4102 là lỗ hổng Use-After-Free (dạng lỗ hổng mà bộ nhớ sau khi được giải phóng có thể gây ra lỗi cho phần mềm) thứ hai trong V8 mà Google đã khắc phục trong vòng chưa đầy ba tháng sau các báo cáo về việc lỗ hổng trước đó CVE-2021-37975 bị khai thác liên tục, cũng được báo cáo bởi một chuyên gia an toàn thông tin ẩn danh. Bản cập nhật trước đó được phát hành vào ngày 30 tháng 9 năm 2021. Hiện vẫn chưa rõ liệu hai lỗ hổng này có liên quan gì đến nhau hay không.
Với bản cập nhật mới nhất này, Google đã giải quyết được kỷ lục 17 lỗ hổng zero-days của Chrome chỉ trong năm nay
CVE-2021-21148 - Tràn bộ đệm trong V8
CVE-2021-21166 - Vấn đề tái chế đối tượng âm thanh
CVE-2021-21193 - Use-After-Free ở Blink
CVE-2021-21206 - Use-After-Free ở Blink
CVE-2021-21220 - Không đủ xác thực đầu vào không đáng tin cậy trong V8 cho x86_64
CVE-2021-21224 - Nhập nhầm vào V8
CVE-2021-30551 - Nhập nhầm vào V8
CVE-2021-30554 - Use-After-Free ở WebGL
CVE-2021-30563 - Nhập nhầm vào V8
CVE-2021-30632 - Vượt giới hạn ghi trong V8
CVE-2021-30633 - Use-After-Free ở Indexed API DB
CVE-2021-37973 - Use-After-Free ở Portals
CVE-2021-37975 - Use-after-free ở V8
CVE-2021-37976 - Rò rỉ thông tin trong lõi
CVE-2021-38000 - Xác thực không đầy đủ thông tin đầu vào không đáng tin cậy trong Intents
CVE-2021-38003 - Triển khai không phù hợp trong V8
Người dùng Chrome được khuyến nghị cập nhật lên phiên bản mới nhất (96.0.4664.110) cho Windows, Mac và Linux bằng cách trỏ tới Cài đặt> Trợ giúp> 'Giới thiệu về Google Chrome' để giảm thiểu rủi ro tiềm ẩn khi sử dụng.
Nguồn tin: thehackernews.com