Lỗ hổng bảo mật mới trong Google Chrome đang bị hacker khai thác

Vân Anh17:28 17/12/2021

Theo cảnh báo mới của Trung tâm NCSC, mặc dù chưa có thông tin chi tiết về cách thức khai thác lỗ hổng bảo mật CVE-2021-4102 trong trình duyệt Chrome, song lỗ hổng này được cho là đang được khai thác trong thực tế.

Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin, Bộ TT&TT vừa cảnh báo các cơ quan, tổ chức về lỗ hổng bảo mật nghiêm trọng có mã CVE-2021-4102 trong Google Chrome.

Trung tâm NCSC cho biết, ngày 13/12 vừa qua, Google đã phát hành bản vá cho lỗ hổng bảo mật CVE-2021-4102 có mức ảnh hưởng nghiêm trọng tại phiên bản Chrome 96.0.4664.110 cho hệ điều hành Windows, Mac và Linux.

Lỗ hổng CVE-2021-4102 tồn tại trong công cụ JavaScript của Chrome v8, cho phép đối tượng tấn công thực thi mã tùy ý. “Mặc dù chưa có thông tin chi tiết về cách thức khai thác lỗ hổng này, tuy nhiên lỗ hổng này được cho là đang được khai thác trong thực tế”, chuyên gia Trung tâm NCSC cho hay.

Vì thế, trung tâm khuyến nghị các cơ quan, tổ chức cần cập nhật bản vá trong thời gian sớm để tránh nguy cơ mất an toàn thông tin.

Lỗ hổng CVE-2021-4102tồn tạ i trong công cụ JavaScript của Chrome v8, cho phép đối tượng tấn công thực thi mã tùy ý.

Theo số liệu của Cục An toàn thông tin, Bộ TT&TT, trong 11 tháng đầu năm nay, hệ thống kỹ thuật của Cục đã ghi nhận 8.475 cuộc tấn công mạng gây ra sự cố vào các hệ thống thông tin tại Việt Nam, tăng 32,13% so với cùng kỳ 11 tháng đầu năm 2020. Trong gần 8.500 sự cố tấn công mạng này, có 1.789 cuộc tấn công lừa đảo (Phishing), 1.405 cuộc tấn công thay đổi giao diện (Deface) và 5.281 cuộc tấn công cài mã độc (Malware).

Video đang HOT

Cũng trong các tháng vừa qua, Cục An toàn thông tin đã liên tục giám sát an toàn không gian mạng quốc gia. Đã gửi văn bản, email cảnh báo gần 700 lỗ hổng, trong đó có các sự cố mất an toàn thông tin tại một số đơn vị lớn. Đồng thời, phát hiện và cảnh báo người dùng về các trang web, fanpage và loại hình tin nhắn lừa đảo.

Cùng với đó, Cục An toàn thông tin đã phát triển phần mềm bảo vệ miễn phí các thiết bị đầu cuối cho người dân; thống kê và cung cấp công cụ cho phép người dùng tra cứu về các trang web, fanpage lừa đảo; phối hợp với Cốc Cốc tổ chức “Chiến dịch Khiên xanh”, cảnh báo ngay khi người dùng truy cập vào 1 trang web lừa đảo; đặc biệt là đã xử lý hơn 400 web/blog lợi dụng tình hình dịch Covid-19 giả mạo các ngân hàng, tổ chức tài chính, tập đoàn, tổng công ty nhà nước để lừa đảo chiếm đoạt tài sản, thông tin cá nhân của người dân.

2,6 tỷ người dùng Google Chrome gặp nguy hiểm vì lỗ hổng bảo mật nghiêm trọng, bạn nên làm gì?

Google đã lên tiếng cảnh báo về 5 lỗ hổng bảo mật nghiêm trọng được phát hiện trên trình duyệt Chrome có thể khiến 2,6 tỷ người dùng gặp nguy hiểm.

Trong một bài đăng gần đây trên blog công ty, Google đã cảnh báo về 5 lỗ hổng bảo mật nghiêm trọng đã được tìm thấy trên trình duyệt Chrome.

Với mã định danh là CVE-2021-3798x (với x là các số thứ tự từ 1 đến 5), những lỗ hổng mới này có mức độ nghiêm trọng cực kỳ cao, bao gồm lỗ hổng "use after free" và lỗ hổng tràn bộ nhớ đệm.

5 lỗ hổng được tìm thấy trên Google có mức độ nghiêm trọng cực kỳ cao

Trong đó, "use after free" xuất phát từ điểm yếu của WebGL (hay còn gọi là thư viện đồ họa web) - một API JavaScript để hiển thị đồ họa 2D và 3D tương tác trong trình duyệt.

Hacker có thể khai thác lỗ hổng này để phá vỡ cấu trúc và sửa đổi dữ liệu trong bộ nhớ thực thi của Chrome, từ đó chiếm quyền và thực hiện các cuộc tấn công thực thi mã từ xa trên máy tính hoặc phần mềm của nạn nhân bị ảnh hưởng.

Năm lỗ hổng bảo mật nghiêm trọng này đã được các nhà nghiên cứu độc lập báo cáo cho Google thông qua chương trình Phần thưởng bảo mật (GPSRP, viết tắt từ Google Play Security Reward Program), hay còn được gọi nôm na là "săn lỗi nhận thưởng".

Google khuyến cáo người dùng nên sớm cập nhật lên phiên bản Chrome mới nhất để vá những lỗ hổng bảo mật nghiêm trọng này

Thông thường, Google sẽ giữ kín các thông tin chi tiết về lỗ hổng cho đến cả khi có bản vá, nhằm giúp phần đông người dùng đủ thời gian để cập nhật. Bản vá cho 5 lỗi bảo mật nguy hiểm này đã được Google tung ra thông qua bản cập nhật Chrome 95.0.4638.54.

Để bảo vệ mình khỏi nguy cơ bị hacker tấn công, người dùng nên cập nhật phiên bản mới nhất cho trình duyệt Google Chorme.

Với người dùng Google Chrome trên nền tảng máy tính:

Để cập nhật Google Chrome lên phiên bản mới nhất, bạn hãy ấn vào biểu tượng dấu 3 chấm nằm ở góc trên cùng bên phải của trình duyệt Google Chrome, tiếp đến chọn Help (trợ giúp)

Sau đó bạn hãy chọn tiếp About Google Chrome (giới thiệu về Google Chrome) để tiến hành cập nhật bản vá bảo mật

Khi quá trình cập nhật hoàn tất, bạn chỉ cần nhấn Relaunch để khởi động lại trình duyệt

Với người dùng Google Chorme trên nền tảng điện thoại:

Để cập nhật ứng dụng Google Chrome trên điện thoại lên phiên bản mới nhất, bạn hãy vào chợ ứng dụng (CH Play hoặc App Store)> tìm kiếm ứng dụng Google Chrome> chọn cập nhật lên phiên bản mới nhất là xong

Nếu bạn chưa cập nhật trình duyệt Google Chrome của mình lên phiên bản mới nhất, bây giờ là lúc để thực hiện ngay điều đó!

Người dùng cần cập nhật Google Chrome để xử lý lỗ hổng bảo mật nghiêm trọng Google khuyến cáo người dùng nên sớm cập nhật lên phiên bản Chrome 91.0.4472.114 để vá một số lỗ hổng bảo mật nghiêm trọng kể trên. Mới đây, Google vừa tung ra một bản cập nhật cho trình duyệt Google Chrome (Windows, Mac và Linux) để vá 4 lỗ hổng bảo mật, trong đó có một lỗ hổng zero-day nghiêm trọng đang bị...