Lỗ hổng RCE mới ảnh hưởng đến kênh phát triển Google Chrome

Một lỗ hổng thực thi mã từ xa quan trọng được vá gần đây trong công cụ V8 JavaScript và WebAssembly, được sử dụng trong các trình duyệt dựa trên Google Chrome và Chromium.

Lỗ hổng này  trong phiên bản kênh Dev của Chrome 101 đã được Weibo Wang, một nhà nghiên cứu bảo mật tại công ty an ninh mạng Numen Cyber ​​Technology của Singapore, báo cáo với Google và sau đó đã được công ty này âm thầm khắc phục.

Wang nói: “Lỗ hổng này xảy ra trong giai đoạn lựa chọn lệnh, khi đó lệnh đã được chọn sai và dẫn đến noại lệ truy cập bộ nhớ.”

Lỗi sử dụng sau khi miễn phí xảy ra khi bộ nhớ được giải phóng trước đó được truy cập, gây ra hành vi không xác định và khiến chương trình gặp sự cố, sử dụng dữ liệu bị hỏng hoặc thậm chí thực thi mã tùy ý.

Điều đáng quan tâm hơn là lỗ hổng này có thể được khai thác từ xa thông qua một trang web được thiết kế đặc biệt để vượt qua các hạn chế bảo mật và chạy mã tùy ý để xâm phạm các hệ thống được nhắm mục tiêu.

chrome zero-day vulnerability

Wang giải thích: “Lỗ hổng này dễ bị khai thác nhiều hơn bằng cách sử dụng kỹ thuật Heap, và sau đó dẫn đến lỗ hổng ‘nhầm lẫn kiểu’, cho phép kẻ tấn công kiểm soát các con trỏ hàm hoặc viết mã vào các vị trí tùy ý trong bộ nhớ, và cuối cùng dẫn đến việc thực thi mã.”

Công ty vẫn chưa tiết lộ lỗ hổng thông qua cổng trình theo dõi lỗi Chromium để cung cấp cho càng nhiều người dùng càng tốt cài đặt phiên bản vá lỗi trước. Ngoài ra, Google không chỉ định ID CVE cho các lỗ hổng được tìm thấy trong các kênh Chrome không ổn định.

Người dùng Chrome, đặc biệt là các nhà phát triển sử dụng phiên bản Dev của Chrome để thử nghiệm nhằm đảm bảo rằng ứng dụng của họ tương thích với các tính năng Chrome mới nhất và các thay đổi API, nên cập nhật lên phiên bản mới nhất hiện có của phần mềm.

chrome zero-day vulnerability

Hướng dẫn lắp ráp TurboFan sau khi lỗ hổng bảo mật được vá

Đây không phải là lần đầu tiên các lỗ hổng sử dụng sau khi miễn phí được phát hiện trong Chrome. Google vào năm 2021 đã giải quyết bảy lỗi như vậy trong Chrome đã bị khai thác trong các cuộc tấn công trong thế giới thực. Năm nay, nó cũng đã khắc phục một lỗ hổng sử dụng sau khi miễn phí bị khai thác tích cực trong thành phần Hoạt ảnh.

 

Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com

Vina Aspire – Vững bảo mật, trọn niềm tin

Nguồn: https://thehackernews.com/2022/05/experts-detail-new-rce-vulnerability.html


Bài viết liên quan

About Us

Learn More

Vina Aspire is a leading Cyber Security & IT solution and service provider in Vietnam. Vina Aspire is built up by our excellent experts, collaborators with high-qualification and experiences and our international investors and partners. We have intellectual, ambitious people who are putting great effort to provide high quality products and services as well as creating values for customers and society.

may ao thun Kem sữa chua May o thun May o thun đồng phục Định cư Canada Dịch vụ kế ton trọn gi sản xuất đồ bộ
Translate »