Google đã phát hành bản cập nhật phần mềm khẩn cấp cho trình duyệt web Google Chrome và kêu gọi người dùng Windows, Mac và Linux lập tức nâng cấp ứng dụng lên phiên bản mới nhất.
Bản cập nhật Chrome 77.0.3865.90
Tung ra cho người dùng trên toàn thế giới vào thứ Tư tuần này, phiên bản Chrome 77.0.3865.90 chứa các bản vá cho 1 lỗ hổng nghiêm trọng và 3 lỗ hổng có nguy cơ nghiêm trọng cao, cho phép tin tặc từ kiểm soát hệ thống bị ảnh hưởng từ xa.
Google đã quyết định giữ bí mật về chi tiết của 4 lỗ hổng này trong vài ngày nữa, nhằm ngăn chặn tin tặc khai thác chúng và người dùng đủ thời gian để cài đặt bản cập nhật Chrome.
Hiện tại, nhóm an ninh Chrome chỉ tiết lộ rằng, cả 4 lỗ hổng đều là use-after-free trong các thành phần khác nhau của trình duyệt web, dẫn đến các cuộc tấn công thực thi mã từ xa.
Use-after-free thuộc nhóm các lỗ hổng ảnh hưởng đến bộ nhớ, có thể tạo điều kiện để hacker làm sai lệch hoặc sửa đổi dữ liệu trong bộ nhớ, cho phép người dùng không có đặc quyền leo thang đặc quyền trên hệ thống hoặc phần mềm bị ảnh hưởng.
Các lỗ hổng được vá bởi Chrome 77.0.3865.90
Use-after-free trong UI (CVE-2019-13685) – Báo cáo bởi Khalil Zhani
Use-after-free trong media (CVE-2019-13688) – Báo cáo bởi Man Yue Mo thuộc nhóm nghiên cứu bảo mật Semmle
Use-after-free trong media (CVE-2019-13687) – Báo cáo bởi Man Yue Mo thuộc nhóm nghiên cứu bảo mật Semmle
Use-after-free trong các trang ngoại tuyến (CVE-2019-13686) – Báo cáo bởi Brendon Tiszka
Google đã chi trả tổng cộng $40.000 tiền thưởng cho Man Yue Mo với 2 lỗ hổng – $20.000 cho lỗ hổng CVE-2019-13687 và $20.000 cho lỗ hổng CVE-2019-13688 – trong khi đó, tiền thưởng cho hai lỗ hổng còn lại chưa được quyết định.
Khai thác thành công các lỗ hổng này cho phép kẻ tấn công thực thi mã tùy ý chỉ bằng cách thuyết phục nạn nhân mở hoặc chuyển hướng đến một trang web đặc biệt trên trình duyệt Chrome bị ảnh hưởng mà không cần bất kỳ tương tác nào khác.
Dựa trên các tiết lộ trước đó, lỗ hổng use-after-free cũng có thể dẫn đến việc lộ thông tin nhạy cảm, qua mặt các cơ chế bảo mật, hành động trái phép và tạo điều kiện cho tấn công từ chối dịch vụ.
Dù Google Chrome tự động thông báo người dùng về phiên bản mới nhất có sẵn, người dùng được khuyến nghị cập nhật thủ công bằng cách truy cập vào “Trợ giúp à Giới thiệu về Google Chrome” từ menu.
Bên cạnh đó, người dùng cũng được khuyến nghị chạy tất cả phần mềm trên hệ thống bất cứ khi nào có thể, vì người dùng không có đặc quyền sẽ giảm bớt tác động của các cuộc tấn công khai thác các lỗ hổng zero-day.
Chúng tôi sẽ cập nhật thêm về các lỗ hổng ngay khi Google phát hành các chi tiết kỹ thuật.
