Bản sửa lỗi mới cho trình duyệt Google Chrome đang sửa bảy lỗ hổng bảo mật quan trọng. Bốn trong số các lỗ hổng này đã được Cơ quan An ninh mạng & Cơ sở hạ tầng Hoa Kỳ (CISA) gọi là có độ rủi ro cao. Cơ quan đang yêu cầu tất cả người dùng tải xuống phiên bản mới nhất của Chrome (v102.0.5005.115) để giữ cho bản thân được bảo vệ.
Bản sửa lỗi Chrome mới hiện có sẵn cho người dùng Windows, Mac và Linux bị ảnh hưởng bởi các lỗ hổng này
Theo CISA, những lỗ hổng này trên Chrome có trên các phiên bản trình duyệt Windows, Linux và Mac. Vì vậy, những người dùng đã bật tự động cập nhật cho Chrome sẽ được an toàn. Trong số các lỗ hổng có nguy cơ cao là CVE-2022-2007, CVE-2022-2008, CVE-2022-2010 và CVE-2022-2011.
CVE-2022-2007 là một UAF (Sử dụng Lỗ hổng-After-Free) hiện diện trong WebGPU, cho phép kẻ tấn công khai thác sử dụng sai bộ nhớ động trong quá trình vận hành chương trình và cuối cùng là hack chương trình. Trong khi đó, Google định nghĩa CVE-2022-2008 là “Truy cập bộ nhớ ngoài giới hạn trong WebGL.”
CVE-2022-2010 là một lỗ hổng đọc ngoài giới hạn trong trình duyệt. Lỗ hổng có nguy cơ cao thứ tư, CVE-2022-2011, là lỗ hổng UAF trong lớp khai thác công cụ đồ họa đa nền tảng (ANGLE).
Google không cung cấp bức tranh đầy đủ về cách những kẻ tấn công có thể khai thác lỗ hổng. Điều này phù hợp với chính sách của công ty là không tiết lộ tất cả thông tin chi tiết về các lỗ hổng có nguy cơ cao cho đến khi tất cả người dùng cài đặt bản vá.
“Quyền truy cập vào chi tiết lỗi và liên kết có thể bị hạn chế cho đến khi đa số người dùng được cập nhật với một bản sửa lỗi. Chúng tôi cũng sẽ giữ lại các hạn chế nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác phụ thuộc vào tương tự nhưng chưa được khắc phục ”, Google cho biết trong bài đăng trên blog (qua ZDNet ).
Việc phát hiện ra CVE-2022-Năm 2010 đến từ nhóm nghiên cứu Google Project Zero. Những người khác đến từ các nhà nghiên cứu độc lập, bao gồm David Manouchehri, Trần Văn Khang và SeongHwan Park. Trong khi Manouchehri sẽ nhận được khoản tiền thưởng trị giá 10.000 đô la cho việc xác định CVE-2022-2007, số tiền thưởng cho hai nhà nghiên cứu còn lại là “TBD.”
CISA đã thêm 36 lỗ hổng bảo mật vào danh mục của mình vào tuần trước
Tuần trước, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm 36 lỗ hổng bảo mật mới vào danh mục dài của mình. Cơ quan cho biết những lỗ hổng này là một vectơ tấn công thường xuyên và có thể khiến các cá nhân gặp “rủi ro đáng kể”.
Những lỗ hổng mới được phát hiện này thuộc về một nhóm công ty và thương hiệu khác nhau, bao gồm Adobe, Cisco, Google, Microsoft, Netgear và QNAP, v.v.
