ClockThứ Sáu, 23/10/2020 17:41

Lỗ hổng trên Chrome bị hacker khai thác

Google thừa nhận Chrome gặp lỗi tràn bộ nhớ đệm trong một thư viện phát triển phần mềm mã nguồn mở hỗ trợ hiển thị phông chữ.

Lỗi Chrome khiến người dùng vô tình 'mời' hacker theo dõi

Lỗ hổng do nhà nghiên cứu Sergei Glazunov thuộc dự án Google Project Zero phát hiện và gửi cảnh báo tới Google ngày 19/10. Đây là lỗi phá hủy bộ nhớ, hay được gọi là lỗi tràn bộ đệm trong FreeType - một thư viện phát triển phần mềm mã nguồn mở hỗ trợ hiển thị phông chữ khác nhau trên Chrome.

"Google đã nhận được báo cáo về việc lỗ hổng này bị khai thác", Prudhvikumar Bommana thuộc nhóm Chrome viết trên blog, nhưng không tiết lộ chi tiết về các cuộc tấn công.

Sau hai ngày, Google đã phát hành bản vá cho Chrome. Andrew R. Whalley, một thành viên của nhóm bảo mật Chrome, khẳng định đội ngũ của ông đã phản ứng "siêu nhanh" với lỗ hổng zero-day được xếp ở mức nguy cơ cao này.

Lỗ hổng CVE-2020-15999 đang bị hacker khai thác để tấn công người dùng

Để khai thác lỗ hổng được gắn mã CVE-2020-15999, tin tặc sẽ truyền ảnh định dạng PNG kích thước lớn vào thư viện của FreeType, trong khi thư viện này chỉ sử dụng các giá trị 32-bit, nên sẽ gây tràn bộ nhớ đệm.

"Lợi dụng lỗi này, tin tặc có thể thực hiện mã lệnh thực thi tùy ý từ xa để chiếm quyền điều khiển máy tính nạn nhân, thâm nhập sâu và xem được các thông tin nhạy cảm", các chuyên gia của công ty an ninh mạng Việt Nam VSEC giải thích. "Nguy hiểm hơn, nếu máy tính của nạn nhân nằm trong mạng nội bộ của doanh nghiệp, hacker có thể trở thành cửa ngõ dẫn tin tặc xâm nhập vào hệ thống CNTT, làm lộ thông tin mật. Do đó, người dùng nên cập nhật Chrome phiên bản mới nhất".

Một số nhà nghiên cứu bảo mật cũng lên Twitter khuyến khích người dùng cập nhật trình duyệt Chrome của trên thiết bị của họ ngay lập tức để tránh trở thành nạn nhân của những kẻ đang khai thác lỗ hổng.

"Hãy đảm bảo bạn cập nhật Chrome của mình ngay hôm nay", chuyên gia tư vấn bảo mật Sam Stepanyan tại London khuyến cáo.

Ngoài lỗ hổng FreeType, Google tuần này cũng vá 4 lỗi khác của Chrome, trong đó có ba lỗi nguy cơ cao và một lỗi ở mức trung bình.

Theo vnexpress.net

ĐÁNH GIÁ
Hãy trở thành người đầu tiên đánh giá cho bài viết này!
  Ý kiến bình luận

BẠN CÓ THỂ QUAN TÂM

75% người dùng di động Việt Nam nhận được tin nhắn, cuộc gọi lừa đảo tài chính online

Theo Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong giai đoạn đẩy mạnh và tăng tốc chuyển đổi số như hiện nay, các đối tượng xấu đã lợi dụng sự bùng nổ về công nghệ thông tin, những tiện ích mà công nghệ thông tin mang lại (như tương tác qua mạng xã hội, các ứng dụng nhắn tin OTT...) để thực hiện nhiều vụ lừa đảo trực tuyến, chiếm đoạt tài sản có giá trị cao.

75 người dùng di động Việt Nam nhận được tin nhắn, cuộc gọi lừa đảo tài chính online
Khuyến cáo bảo vệ thông tin cá nhân khi hoạt động trực tuyến

Trước tình trạng một số hacker rao bán hàng loạt dữ liệu người dùng Việt Nam trên internet gần đây, Cục Cạnh tranh và Bảo vệ người tiêu dùng (Bộ Công Thương) cảnh báo nguy cơ rủi ro và đưa ra một số lưu ý để bảo vệ thông tin cá nhân của người tiêu dùng khi tham gia thực hiện các hoạt động trực tuyến.

Khuyến cáo bảo vệ thông tin cá nhân khi hoạt động trực tuyến
iCloud trên Mac vướng lỗ hổng khó hiểu

Dịch vụ iCloud của Apple đã xảy ra lỗi hiếm gặp khi khóa một tài khoản chỉ vì họ của người dùng trùng với một giá trị flag trong ngôn ngữ lập trình.

iCloud trên Mac vướng lỗ hổng khó hiểu

TIN MỚI

Return to top