Thông tin này được công bố trong bản cập nhật cho một bài đăng trên blog của công ty, tiết lộ rằng họ đã khắc phục một lỗ hổng zero-day nghiêm trọng khác (CVE-2024-7971) gây ra bởi vấn đề nhầm lẫn loại (type confusion) trong V8.
Lỗ hổng định danh là CVE-2024-7965 và được báo cáo bởi một nhà nghiên cứu bảo mật được biết đến với cái tên TheDog. Lỗ hổng liên quan đến vấn đề triển khai không phù hợp trong công cụ JavaScript V8 của Google Chrome, có thể cho phép kẻ tấn công từ xa khai thác lỗ hổng bộ nhớ heap thông qua một trang HTML độc hại.
Thông tin này được công bố trong bản cập nhật cho một bài đăng trên blog của công ty, tiết lộ rằng họ đã khắc phục một lỗ hổng zero-day nghiêm trọng khác (CVE-2024-7971) gây ra bởi vần đề nhầm lẫn loại (type confusion) trong V8.
Google đã khắc phục cả hai lỗ hổng zero-day trong Chrome phiên bản 128.0.6613.84/.85 cho hệ thống Windows/macOS và phiên bản 128.0.6613.84 cho người dùng Linux, đã triển khai cho tất cả người dùng trong kênh Stable Desktop.
Chrome sẽ tự động cập nhật khi có bản vá bảo mật, tuy nhiên, người dùng cũng có thể đẩy nhanh quá trình này và áp dụng các bản cập nhật theo cách thủ công bằng cách vào menu Chrome > Trợ giúp > Giới thiệu về Google Chrome, để quá trình cập nhật hoàn tất và nhấp vào nút 'Khởi chạy lại' để cài đặt.
Mặc dù Google đã xác nhận rằng các lỗ hổng CVE-2024-7971 và CVE-2024-7965 đã được khai thác trong thực tế, nhưng công ty vẫn chưa chia sẻ thêm thông tin cụ thể về các cuộc tấn công này.
Google cho biết: “Quyền truy cập vào thông tin chi tiết về lỗ hổng và liên kết có thể bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản sửa lỗi. Chúng tôi cũng sẽ duy trì các hạn chế nếu lỗ hổng tồn tại trong thư viện của bên thứ ba mà các dự án khác cũng phụ thuộc vào nhưng vẫn chưa sửa”.
Kể từ đầu năm, Google đã vá tám lỗ hổng zero-day khác được gắn thẻ là bị khai thác trong các cuộc tấn công hoặc trong cuộc thi hack Pwn2Own.
Bá Phúc
09:00 | 02/08/2024
10:00 | 08/10/2024
09:00 | 15/08/2024
10:00 | 19/08/2024
13:00 | 03/01/2025
Ít nhất 5 tiện ích mở rộng của Chrome đã bị xâm phạm trong một cuộc tấn công mạng tinh vi, trong đó kẻ tấn công đã chèn mã đánh cắp thông tin nhạy cảm của người dùng.
10:00 | 30/10/2024
Vụ việc hàng nghìn máy nhắn tin và các thiết bị liên lạc khác phát nổ ở Liban hồi tháng 9 đã gióng lên hồi chuông cảnh báo về phương thức tấn công chuỗi cung ứng mới vô cùng nguy hiểm, đánh dấu sự leo thang mới trong việc sử dụng chuỗi cung ứng chống lại các đối thủ. Điều này đã đặt ra yêu cầu cấp bách cho các nhà lãnh đạo toàn cầu về việc giảm phụ thuộc vào công nghệ từ các đối thủ.
09:00 | 11/10/2024
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
13:00 | 13/09/2024
Cisco đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến tiện ích cấp phép thông minh (Smart Licensing Utility), có thể cho phép kẻ tấn công từ xa chưa được xác thực leo thang đặc quyền hoặc truy cập thông tin nhạy cảm.
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
13:00 | 13/01/2025