Google vừa phát hành bản cập nhật mới quan trong cho Chrome, vá 3 lỗi bảo mật nguy hiểm đã được báo cáo, trong đó có một lỗ hổng zero-day hiện đang bị các tác nhân độc hại tích cực khai thác. Lỗ hổng này hiện được theo dõi với mã định danh CVE-2020-6418, phát hiện đầu tiên bởi chuyên gia bảo mật Clement Lecigne, một thành viên của đội ngũ Threat Analysis Group Google vào ngày 18 tháng 2 vừa qua. Nó nguy hiểm ở chỗ có thể tạo điều kiện cho tin tặc chiếm quyền kiểm soát thiết bị của người dùng.
Bản cập nhật ổn định vá lỗ hổng này là Chrome 80.0.3987.122, hiện đã được tung ra cho người dùng Chrome trên Windows, Mac và Linux trên toàn thế giới. Tuy nhiên, phía Google chưa công bố thời điểm phát hành bản cập nhật tương tự cho các nền tảng di động Android và iOS, mặc dù lượng người dùng Chrome di động không hề nhỏ.
Nói rõ hơn về CVE-2020-6418. Lỗ hổng này được cho là bắt nguồn từ “một sự sai lệch xuất hiện trong V8”. V8 là một thành phần thuộc Chrome, chịu trách nhiệm xử lý mã JavaScript. Sự nhầm lẫn này xảy ra khi một chương trình truy cập tài nguyên bằng cách sử dụng mẫu nhập không tương thích, dẫn đến lỗi logic. Nếu được khai thác thành công, lỗ hổng có thể cho phép hacker chạy mã không hạn chế trên các ứng dụng bị ảnh hưởng, xem, thay đổi hoặc xóa dữ liệu; tạo tài khoản mới với quyền người dùng đầy đủ; cài đặt các chương trình… từ đó chiếm quyền điều khiển hệ thống.
2 lỗi bảo mật khác ít nguy hiểm hơn bao gồm:
- [1044570]: Lỗ hổng tràn số nguyên trong ICU. Báo cáo đầu tiên ngày 22/01/2020
- [1045931] CVE-2020-6407: Truy cập bộ nhớ ngoài giới hạn luồng. Báo cáo đầu tiên vào ngày 2020-01-27
Ngay bây giờ, hãy kiểm tra xem trình duyệt Chrome của bạn đã được cập nhật lên phiên bản 80.0.3987.122 hay chưa. Nếu chưa, có thể download “thủ công” bản cập nhật thông qua trình cài đặt ngoại tuyến, hoặc điều hướng tới menu tùy chọn (biểu tượng 3 dấu chấm) trên Chrome > Trợ giúp (Help) > Giới thiệu về Google Chrome (About Google Chrome) và buộc cập nhật Chrome.