Lỗ hổng zero-day định danh CVE-2024-0519 có liên quan đến vấn đề truy cập bộ nhớ trái phép (out-of-bounds memory access) trong công cụ V8 JavaScript và WebAssugging, có thể bị các tác nhân đe dọa lợi dụng để gây ra sự cố.
Theo theo Bảng liệt kê điểm yếu chung (CWE) của MITER, kẻ tấn công có thể lấy được các giá trị bí mật bằng cách truy cập bên ngoài phạm vi bộ nhớ được cấp phép, chẳng hạn như địa chỉ bộ nhớ, bỏ qua các cơ chế bảo vệ như ASLR để tăng khả năng khai thác một điểm yếu khác nhằm đạt được thực thi mã thay vì chỉ gây ra sự cố từ chối dịch vụ.
Trên Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (NVD) của NIST đã chỉ ra quyền truy cập bộ nhớ ngoài giới hạn trong V8 trong Google Chrome trước 120.0.6099.224 đã cho phép kẻ tấn công từ xa có khả năng khai thác lỗi heap thông qua một trang HTML thủ công.
Các thông tin chi tiết bổ sung về bản chất của các cuộc tấn công và các tác nhân đe dọa đang khai thác chúng hiện chưa được tiết lộ nhằm ngăn chặn việc bị tin tặc khai thác nhiều hơn. Lỗ hổng đã được báo cáo ẩn danh vào ngày 11/01/2024.
Sự phát triển này đánh dấu lỗ hổng zero-day đầu tiên bị khai thác trong thực tế được Google vá trong Chrome vào năm 2024. Năm ngoái, Google đã giải quyết tổng cộng 8 lỗ hổng zero-day bị khai thác như vậy trong trình duyệt.
Người dùng nên nâng cấp lên phiên bản Chrome 120.0.6099.224/225 cho Windows, 120.0.6099.234 cho macOS và 120.0.6099.224 cho Linux để giảm thiểu các mối đe dọa tiềm ẩn.
Người dùng các trình duyệt dựa trên Chrome như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi ngay khi chúng có sẵn.
Hà Chi
07:00 | 17/01/2024
09:00 | 01/02/2024
15:00 | 31/01/2024
13:00 | 26/02/2024
10:00 | 10/11/2023
15:00 | 04/08/2024
10:00 | 10/04/2024
14:00 | 22/06/2023
10:00 | 28/03/2024
09:00 | 23/01/2025
Mới đây, các chuyên gia an ninh mạng đã phát đi cảnh báo liên quan đến chiến dịch lừa đảo trên nền tảng nhắn tin, gọi điện miễn phí và được mã hóa 2 chiều Signal.
12:00 | 26/12/2024
Giữa tháng 12/2024, giới chức bang Rhode Island của Mỹ cho biết, một nhóm tin tặc quốc tế có thể đã đánh cắp hàng trăm nghìn dữ liệu cá nhân và ngân hàng của cư dân bang này, đồng thời đòi tiền chuộc.
10:00 | 12/12/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.
14:00 | 11/10/2024
Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.
Một trong những cách hiệu quả nhất để các chuyên gia công nghệ thông tin (CNTT) phát hiện ra điểm yếu của công ty trước khi tin tặc tấn công là kiểm thử xâm nhập. Bằng cách mô phỏng các cuộc tấn công mạng trong thế giới thực, kiểm thử xâm nhập, đôi khi được gọi là pentest, cung cấp những hiểu biết vô giá về tình hình bảo mật của tổ chức, phát hiện ra những điểm yếu có khả năng dẫn đến vi phạm dữ liệu hoặc các sự cố bảo mật khác.
15:00 | 23/01/2025