Google vừa tung ra bản cập nhật khẩn cấp Chrome 91.0.4472.101 cho Windows, Mac và Linux để vá 14 lỗ hổng bảo mật. Trong số này có một lỗ hổng zero-day nghiêm trọng (CVE-2021-30551) đang bị hacker tích cực khai thác.
Hiện tại, Google Chrome 91.0.4472.101 đã bắt đầu được tung ra và dự kiến sẽ cập nhật cho tất cả người dùng trên toàn cầu trong vài ngày tới.
Google Chrome sẽ tự động cập nhật trình duyệt trong lần tiếp theo bạn chạy nó. Nếu muốn tự cập nhật, bạn có thể truy cập vào Cài đặt > Trợ giúp > Giới thiệu về Google Chrome.
Hacker đã khai thác tới 6 lỗ hổng zero-day trên Chrome trong năm 2021
Mặc dù năm 2021 mới chỉ trôi qua một nửa nhưng đã có tới 6 lỗ hổng zero-day trên Google Chrome bị hacker khai thác trước khi được vá. Lỗ hổng vừa được vá xuất phát từ việc có nhầm lẫn về kiểu V8, mã nguồn mở và C++ WebAssembly và engine JavaScript của Google.
Dưới đây là 5 lỗ hổng zero-day khác của Google Chrome đã bị hacker khai thác trong năm nay:
- CVE-2021-21148 - ngày 4 tháng 2 năm 2021
- CVE-2021-21166 - ngày 2 tháng 3 năm 2021
- CVE-2021-21193 - ngày 12 tháng 3, 2021
- CVE-2021-21220 - ngày 13 tháng 4 năm 2021
- CVE-2021-21224 - 20 tháng 4, 2021
Theo thông tin từ các chuyên gia, một nhóm hacker có tên Puzzlemarker đang xâu chuỗi các lỗ hổng zero-day của Google Chrome để vượt ra khỏi hộp cát của trình duyệt và cài đặt phần mềm độc hại lên Windows.
Các nhà nghiên cứu cho biết khi kết hợp cả lỗ hổng của Chrome và Windows, hacker có thể xâm nhập vào hệ thống của nạn nhân để cài đặt phần mềm độc hại. Microsoft cũng vừa vá lỗ hổng CVE-2021-33742 trong bản vá Patch Tuesday tháng 6.
Cho đến thời điểm hiện tại, vẫn chưa rõ Puzzlemaker khai thác lỗ hổng nào của Google. Hãng bảo mật Kaspersky tin rằng hacker có thể đã khai thác lỗ hổng CVE-2021-21224 nhưng cũng không loại trừ khả năng chúng sử dụng thêm các lỗ hổng khác mà Google chưa tìm ra.