Google phát cảnh báo khẩn đến 3,2 tỷ người dùng toàn cầu, lưu ý ngay điều này nếu không muốn gặp nguy hiểm
Mới đây, Google đã lên tiếng cảnh báo về lỗ hổng nghiêm trọng đe doạ đến sự an toàn của 3,2 tỷ người dùng.
Thông qua một bài đăng trên blog của công ty, Google cho biết một lỗ hổng Zero Day được phân loại ở mức nghiêm trọng cao ( CVE-2022-0609) đã được tìm thấy trong tất cả các trình duyệt Chrome và nó đang bị hacker khai thác một cách công khai.
Bảy lỗ hổng khác, bao gồm 6 lỗ hổng được phân loại ở mức độ cao và 1 lỗ hổng được phân loại ở mức độ trung bình cũng được phát hiện trên trình duyệt, ảnh hưởng đến mọi hệ điều hành Windows, Mac và Linux.
Google đã lên tiếng cảnh báo về lỗ hổng nghiêm trọng đe doạ đến sự an toàn của 3,2 tỷ người dùng trình duyệt Chrome
Google giữ kín về chi tiết của các lỗ hổng và cho đến nay, đây là thông tin có sẵn về các lỗ hổng được sắp xếp theo thứ tự mức độ rủi ro:
1. Cao – CVE-2022-0603
2. Cao – CVE-2022-0604
Video đang HOT
3. Cao – CVE-2022-0605
4. Cao – CVE-2022-0606
5. Cao – CVE-2022-0607
6. Cao – CVE-2022-0608
7. Trung bình – CVE-2022-0610
Zero Day (hay 0 Day) là thuật ngữ để chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục. Cụm từ “Zero Day” ám chỉ số ngày mà nhà phát triển phần mềm phát hiện ra cuộc tấn công khai thác lỗ hổng nghiêm trọng.
Theo Forbes, lỗ hổng Zero Day được hacker khai thác lần này là một lỗ hổng “Use-After-Free” (UAF), biến đây là hình thức hack thành công và phổ biến nhất khi hacker nhắm vào Chrome.
Use-After-Free (UAF) là một lỗ hổng liên quan đến việc sử dụng sai bộ nhớ động trong quá trình vận hành chương trình. Nếu sau khi giải phóng một vị trí bộ nhớ, một chương trình không xóa con trỏ đến bộ nhớ đó, kẻ tấn công có thể sử dụng lỗi để hack chương trình. Nó có thể được sử dụng để thực thi mã tùy ý hoặc thoát khỏi hộp cát bảo mật của trình duyệt.
Các vụ tấn UAF không chỉ chiếm 5 trong số 8 vụ tấn công được Google công bố mới đây, mà còn nâng tổng số vụ tấn công UAF trên Chrome thành công lên 26 vụ kể từ đầu năm
Bên cạnh các cuộc tấn công bằng cách khai thác lỗ hổng UAF, các cuộc tấn công theo cơ chế Heap overflow (một dạng lỗi tràn bộ đệm), cũng là nguyên nhân cho một cuộc tấn công thành công khác.
Còn được gọi là “Heap Smashing”, lỗi tràn Heap xảy ra tại khu vực dữ liệu Heap – bộ phận thường để chứa dữ liệu của chương trình và được cấp phát tự động. Khi bị tràn, các cấu trúc dữ liệu quan trọng có thể bị ghi đè khiến nó trở thành mục tiêu lý tưởng cho hacker.
Google khuyến nghị người dùng Chrome nên cập nhật trình duyệt càng sớm càng tốt
Do đó, Google khuyến nghị người dùng Chrome nên cập nhật trình duyệt web của họ càng sớm càng tốt bản cập nhật Chrome 98.0.4758.102.
Để cập nhật Chrome, bạn hãy truy cập vào Menu (biểu tượng dấu 3 chấm)> Cài đặt> About Chrome, chờ trong giây lát để quá trình tải về bản cập nhật hoàn tất, sau đó nhấn Relaunch để khởi động lại trình duyệt. Ngoài ra, bạn cũng có thể gõ vào khung tìm kiếm dòng lệnh chrome://settings/help để tiến hành quá trình tải về và cập nhật phiên bản Chrome mới nhất.
Microsoft bỏ sót một lỗ hổng zero-day khiến hàng tỷ máy tính có thể gặp nguy hiểm
Microsoft đã biết về lỗ hổng bảo mật nhưng chưa cung cấp lịch trình phát hành bản sửa lỗi.
Theo một nhà nghiên cứu bảo mật, hàng tỷ máy tính Windows đều có khả năng gặp nguy hiểm vì một lỗ hổng zero-day mà Microsoft đã không vá cẩn thận.
Lỗ hổng này hiện tại chỉ là một proof-of-concept (kiểm tra tính khả thi), chưa bị đưa vào khai thác thực tế, nhưng nhà nghiên cứu bảo mật tin rằng chỉ một số chỉnh sửa nhỏ có thể dẫn đến việc nó bị tận dụng để tấn công diện rộng.
Lỗ hổng lợi dụng một lỗi trong Windows Installer (CVE-2021-41379) mà Microsoft nói rằng đã vá vào đầu tháng này, trang BleepingComputer đã thử nghiệm và có thể dùng để mở công cụ CMD với quyền SYSTEM từ một tài khoản chỉ có quyền thông thường. Kẻ xấu có thể dùng quyền này để chạy bất cứ file thực thi nào trên máy với file MSI để chạy code dưới quyền admin. Quá trình này diễn ra trong chỉ vài giây.
Dù hiện tại vẫn chưa có gì đáng lo ngại về lỗ hổng này, nhưng nếu nó được lan rộng thì hàng tỷ máy tính có thể gặp nguy hiểm. Cách khai thác này cung cấp cho kẻ tấn công quyền quản trị viên trên cả Windows 10 và Windows 11. Tuy nhiên, đây không phải lỗ hổng có thể khai thác từ xa, nên kẻ xấu cần phải tiếp cận thiết bị mới thực hiện được.
Abdelhamid Naceri, người đã phát hiện ra lỗ hổng, cho biết anh quyết định công khai lỗi thay vì gửi cảnh báo trước cho Microsoft vì anh muốn phản đối việc Microsoft giảm số tiền thưởng cho những người tìm ra lỗi của Windows.
Microsoft giờ đây đã biết về lỗ hổng bảo mật nhưng chưa cung cấp lịch trình phát hành bản sửa lỗi. Naceri cũng khuyên các bên thứ ba không nên tự phát hành các bản vá vì làm như vậy sẽ khiến Windows Installer bị trục trặc.
Microsoft thừa nhận lỗ hổng zero-day Windows khai thác tài liệu trong Office Microsoft đã thừa nhận lỗ hổng zero-day của Windows trong MSHTML cho phép kẻ tấn công có thể thực thi mã từ xa. Microsoft thừa nhận lỗ hổng zero-day mới trong Windows Theo Neowin , sự cố ảnh hưởng đến tất cả phiên bản từ Windows 7 đến Windows 10, và các bản phát hành Windows Server tương ứng. Công ty đang theo...