Lỗ hổng trên Chrome bị hacker khai thác

Lỗ hổng do nhà nghiên cứu Sergei Glazunov thuộc dự án Google Project Zero phát hiện và gửi cảnh báo tới Google ngày 19/10🐭.𓆉 Đây là lỗi phá hủy bộ nhớ, hay được gọi là lỗi tràn bộ đệm trong FreeType - một thư viện phát triển phần mềm mã nguồn mở hỗ trợ hiển thị phông chữ khác nhau trên Chrome.

"Google đã nhận được báo cáo về việc lỗ hổng này bị khai thác", Prudhvikumar Bommana thuộc nhóm Chrome 🀅viết trên blog, nhưng không tiết lộ chi tiết về các cuộc tấn công.

Sau hai ngày, ♛Gooဣgle đã phát hành bản vá cho Chrome. Andrew R. Whalley, một thành viên của nhóm bảo mật Chrome, khẳng định đội ngũ của ông đã phản ứng "siêu nhanh" với lỗ hổng zero-day được xếp ở mức nguy cơ cao này.

Để khai thác lỗ hổng được gắn mã CVE-2020-15999, tin tặc sẽ truyền ảnh định dạng PNG kích thước lớn vào thư viện của FreeType, trong khi thư viện này chỉ sử d꧙ụng các gi𒁃á trị 32-bit, nên sẽ gây tràn bộ nhớ đệm.

"Lợi dụng lỗi này, tin tặc có thể thực hiện mã ꦰlệnh thực thi tùy ý từ xa để chiếm quyền điều khiển máy tính nạn nhân, thâm nhập sâu và xem được các thông tin nhạy cảm", các chuyên gia của công ty an ninh mạng Việt Nam VSEC giải thích. "Nguy hiểm hơn, nếu máy tính của nạn nhân nằm trong mạng nội bộ của doanh nghiệp, hacker có thể trở thành cửa ngõ dẫn tin tặc xâm nhập vào hệ thống CNTT, làm lộ thông tin mật. Do đó, người dùng nên cập nhật Chrome phiên bản mới nhất".

Một số nhà nghiên cứu bảo mật cũng lên Twitter khuyến khích người dùng cập nhật trình duyệt Chrome của trên thiết bị của họ ngay lập tức để tránh trở thành nạn nhân của những🐻 kẻ đang khai thác 📖lỗ hổng.

"Hãy đảm bảo bạn cập nhật Chrome của mình n▨gay hôm nay", chuyên gia tư vấn bảo mật Sam Stepanyan tại London khuyến cáo.

Ngoài lỗ ꧒hổng FreeType, Google tuần này cũng vá 4 lỗi khác của Chrome, trong đó có ba lỗi nguy cơ cao và một lỗi ở mức trung bình.

Châu An