Google đã tung ra một bản cập nhật khác cho trình duyệt Chrome dành cho Windows, Mac và Linux để khắc phục bốn lỗ hổng bảo mật, bao gồm một lỗ hổng zero-day đang bị khai thác trên thực tế.
Được theo dõi dưới dạng CVE-2021-30554lỗ hổng có mức độ nghiêm trọng cao liên quan đến việc sử dụng sau lỗ hổng miễn phí trong WebGL (còn gọi là Thư viện đồ họa web), API JavaScript để hiển thị đồ họa 2D và 3D tương tác trong trình duyệt.
Khai thác thành công lỗ hổng có thể dẫn đến hỏng dữ liệu hợp lệ, dẫn đến sự cố và thậm chí thực thi mã hoặc lệnh trái phép.
Giám đốc chương trình kỹ thuật Chrome Srinivas Sista lưu ý rằng vấn đề đã được báo cáo ẩn danh cho Google vào ngày 15 tháng 6, đồng thời cho biết thêm rằng công ty “biết rằng có một lỗ hổng khai thác CVE-2021-30554 trong tự nhiên.”
Mặc dù thông thường giới hạn thông tin chi tiết về lỗ hổng cho đến khi phần lớn người dùng được cập nhật bản sửa lỗi, quá trình phát triển diễn ra chưa đầy 10 ngày sau khi Google giải quyết một lỗ hổng zero-day khác bị khai thác trong các cuộc tấn công đang hoạt động (CVE-2021-30551).
CVE-2021-30554 cũng là lỗ hổng zero-day thứ tám được Google vá kể từ đầu năm.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
“Tôi rất vui vì chúng tôi đang ngày càng phát hiện tốt hơn những khai thác này và các mối quan hệ đối tác tuyệt vời mà chúng tôi có để vá các lỗ hổng, nhưng tôi vẫn lo ngại về việc có bao nhiêu lỗ hổng đang được phát hiện liên tục và vai trò của các nhà cung cấp thương mại.” đã tweet Shane Huntley, Giám đốc Nhóm phân tích mối đe dọa của Google, vào ngày 8 tháng 6.
Người dùng Chrome nên cập nhật lên phiên bản mới nhất (91.0.4472.114) bằng cách đi tới Cài đặt > Trợ giúp > ‘Giới thiệu về Google Chrome’ để giảm thiểu rủi ro liên quan đến lỗ hổng.
