Google Chrome vá lỗ hổng zero-day bị khai thác trong thực tế

March 16, 2021

Lỗ hổng use-after-free là lỗ hổng zero-day thứ ba của Google Chrome được tiết lộ trong vòng ba tháng.

Google gấp rút vá lỗ hổng trong trình duyệt Chrome đang bị khai thác tích cực – lỗ hổng zero-day thứ ba của hãng kể từ đầu năm. Khai thác thành công lỗ hổng, hacker có thể thực thi mã từ xa và tấn công từ chối dịch vụ trên các hệ thống bị ảnh hưởng.
Lỗ hổng tồn tại trong Blink, một công cụ trình duyệt dành cho Chrome, được phát triển như một phần của dự án Chromium. Các công cụ trình duyệt chuyển đổi các tài liệu HTML và các tài nguyên trang web khác thành các biểu diễn trực quan mà người dùng cuối có thể xem được.

Google cho biết trong thông báo cập nhật bản vá: “Phiên bản Chrome 89.0.4389.90 dành cho Windows, Mac và Linux sẽ được phát hành cho người dùng trong những ngày tới.”

Google-Chrome-Browser.jpg


Lỗ hổng (CVE-2021-21193) có điểm số 8.8/10 trong thang đánh giá CVSS, cho thấy mức độ nghiêm trọng cao. Đây là một lỗ hổng use-after-free, liên quan đến việc sử dụng sai bộ nhớ động trong quá trình vận hành chương trình. Nếu sau khi giải phóng một vị trí bộ nhớ, một chương trình không xóa pointer đến bộ nhớ đó, kẻ tấn công có thể sử dụng lỗi để tấn công chương trình.

Thông tin trên IBM X-Force, bằng cách thuyết phục nạn nhân truy cập một trang web độc hại, kẻ tấn công từ xa có thể khai thác lỗ hổng để thực thi mã tùy ý hoặc gây ra tình trạng từ chối dịch vụ trên hệ thống.

Hiện tại, thông tin chi tiết về lỗ hổng không được tiết lộ do chính sách của Google. Chỉ khi phần lớn người dùng nhận được bản cập nhật bảo mật, chúng ta mới có thể biết chi tiết kỹ thuật của lỗ hổng này. Lỗ hổng được báo cáo bởi một nhà nghiên cứu bảo mật ẩn danh.

Google cũng không cung cấp thêm chi tiết về việc khai thác ngoài việc nói rằng Google “biết rằng CVE-2021-21193 bị khai thác trong thực tế”.

BTV DSH