Hỗ trợ trực tuyến

Chọn nhân viên để liên hệ

Mr Cường

0124 865 3333

Ms Phương - Kinh doanh

01235166661

Mrs. Nhung

0243 996 8886

danh mục sản phẩm

Chrome lại xuất hiện lỗ hổng Zero-Day mới, cho phép hacker thực thi mã từ xa

07/03/2019

Ngay sau khi đọc xong bài viết này, bạn phải nhớ cập nhật Google Chrome của mình ngay lập tức lên phiên bản mới nhất!

Hôm qua 6/3, nhà nghiên cứu bảo mật Clement Lecigne thuộc đội ngũ Threat Analysis Group của Google đã phát hiện và báo cáo một lỗ hổng bảo mật nghiêm trọng mới xuất hiện trong Chrome vào khoảng cuối tháng trước, có thể cho phép kẻ tấn công tùy ý thực thi mã từ xa và đồng thời chiếm quyền kiểm soát hoàn toàn các máy tính bị mục tiêu.

Lỗ hổng này được đặt tên là CVE-2019-5786, và gây ảnh hưởng trực tiếp đến nền tảng Chrome đang hoạt động trên tất cả các hệ điều hành phổ biến hiện nay, từ Windows, macOS, cho đến Linux.

Hiện Threat Analysis Group vẫn chưa tiết lộ thêm các thông tin chi tiết mang tính kỹ thuật về lỗ hổng này, mà chỉ thông báo rằng về bản chất đây là một lỗ hổng use-after-free xuất hiện trong thành phần FileReader của Chrome, dẫn đến việc thực thi mã từ xa.

Vậy thì điều đáng lo ngại hơn ở đây là gì? Google đã cảnh báo rằng zero-day RCE này đang bị những kẻ tấn công tích cực khai thác để nhắm mục tiêu vào người dùng Chrome, đặc biệt là những người dùng phổ thông vốn không có nhiều kiến thức về bảo mật.

“Quyền truy cập vào các chi tiết và liên kết lỗi có thể bị hạn chế cho đến khi phần lớn người dùng Chrome được cập nhật với một bản sửa lỗi. Ngoài ra, chúng tôi cũng sẽ duy trì các biện pháp hạn chế nếu lỗi này vẫn còn tồn tại trong thư viện của bên thứ ba mà các dự án tương tự khác đang phải phụ thuộc. Công việc đang được Google gấp rút triển khai”.

FileReader là một API tiêu chuẩn được thiết kế để cho phép các ứng dụng web đồng bộ đọc nội dung của các file (hoặc bộ đệm dữ liệu thô) được lưu trữ trên máy tính của người dùng, bằng cách sử dụng "File" hoặc "Blob" để chỉ định đối tượng file hoặc dữ liệu cần đọc.

Lỗ hổng use-after-free là một loại lỗi liên quan đến bộ nhớ, khiến cho bộ nhớ bị hỏng hoặc cho phép sửa đổi dữ liệu trong bộ nhớ, làm cho người dùng bị tước bỏ hoàn toàn các đặc quyền trên hệ thống hoặc phần mềm bị ảnh hưởng.

Lỗ hổng use-after-free trong thành phần FileReader có thể cho phép những kẻ tấn công vốn không có đặc quyền giờ đây có thể giành được các đặc quyền trên chính trình duyệt Chrome của người dùng, giúp chúng thoát khỏi các biện pháp bảo vệ từ sandbox và tùy ý thực thi mã trên hệ thống được nhắm mục tiêu.

Về cơ bản, để khai thác lỗ hổng này, tất cả những gì kẻ tấn công cần làm chỉ là lừa cho nạn nhân mở hoặc chuyển hướng đến một trang web được thiết kế đặc biệt mà không cần bất kỳ tương tác nào khác nữa.

Bản vá cho lỗ hổng bảo mật này hiện đã được tung ra cho người dùng Chrome trong bản cập nhật ổn định số 72.0.3626.121 cho các hệ điều hành Windows, Mac và Linux. Quá trình phân phối bản cập nhật đến tay người dùng đang được triển khai và dự kiến sẽ hoàn tất trong vài ngày tới. Vì vậy, để giữ an toàn, hãy đảm bảo hệ thống của bạn đang chạy phiên bản cập nhật mới nhất của trình duyệt web Chrome. Chúng tôi sẽ cập nhật bài viết ngay khi Google công bố chi tiết kỹ thuật về lỗ hổng này.

Nguồn: Quản trị mạng

 

						http://tic.vn/chrome-lai-xuat-hien-lo-hong-zero-day-moi-cho-phep-hacker-thuc-thi-ma-tu-xa