Thông tin này được công bố trong bản cập nhật cho một bài đăng trên blog của công ty, tiết lộ rằng họ đã khắc phục một lỗ hổng zero-day nghiêm trọng khác (CVE-2024-7971) gây ra bởi vấn đề nhầm lẫn loại (type confusion) trong V8.
Lỗ hổng định danh là CVE-2024-7965 và được báo cáo bởi một nhà nghiên cứu bảo mật được biết đến với cái tên TheDog. Lỗ hổng liên quan đến vấn đề triển khai không phù hợp trong công cụ JavaScript V8 của Google Chrome, có thể cho phép kẻ tấn công từ xa khai thác lỗ hổng bộ nhớ heap thông qua một trang HTML độc hại.
Thông tin này được công bố trong bản cập nhật cho một bài đăng trên blog của công ty, tiết lộ rằng họ đã khắc phục một lỗ hổng zero-day nghiêm trọng khác (CVE-2024-7971) gây ra bởi vần đề nhầm lẫn loại (type confusion) trong V8.
Google đã khắc phục cả hai lỗ hổng zero-day trong Chrome phiên bản 128.0.6613.84/.85 cho hệ thống Windows/macOS và phiên bản 128.0.6613.84 cho người dùng Linux, đã triển khai cho tất cả người dùng trong kênh Stable Desktop.
Chrome sẽ tự động cập nhật khi có bản vá bảo mật, tuy nhiên, người dùng cũng có thể đẩy nhanh quá trình này và áp dụng các bản cập nhật theo cách thủ công bằng cách vào menu Chrome > Trợ giúp > Giới thiệu về Google Chrome, để quá trình cập nhật hoàn tất và nhấp vào nút 'Khởi chạy lại' để cài đặt.
Mặc dù Google đã xác nhận rằng các lỗ hổng CVE-2024-7971 và CVE-2024-7965 đã được khai thác trong thực tế, nhưng công ty vẫn chưa chia sẻ thêm thông tin cụ thể về các cuộc tấn công này.
Google cho biết: “Quyền truy cập vào thông tin chi tiết về lỗ hổng và liên kết có thể bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản sửa lỗi. Chúng tôi cũng sẽ duy trì các hạn chế nếu lỗ hổng tồn tại trong thư viện của bên thứ ba mà các dự án khác cũng phụ thuộc vào nhưng vẫn chưa sửa”.
Kể từ đầu năm, Google đã vá tám lỗ hổng zero-day khác được gắn thẻ là bị khai thác trong các cuộc tấn công hoặc trong cuộc thi hack Pwn2Own.
Bá Phúc
09:00 | 02/08/2024
10:00 | 08/10/2024
09:00 | 15/08/2024
10:00 | 19/08/2024
08:00 | 22/12/2024
Trang web chuyên đăng tải các bài báo về phòng chống lừa đảo mạng Scam Sniffer cho biết, trong thời gian gần đây kẻ tấn công đã cài phần mềm chứa mã độc vào các trang web giả mạo được lập ra với mục đích để xác thực tài khoản Telegram của người dùng.
10:00 | 09/12/2024
Nhóm tin tặc RomCom đến từ Nga đã liên kết hai lỗ hổng zero-day trong các cuộc tấn công gần đây nhắm vào người dùng Firefox và Tor Browser trên khắp khu vực châu Âu và Bắc Mỹ.
12:00 | 15/10/2024
Một làn sóng hành động thực thi pháp luật quốc tế mới với sự tham gia của 12 quốc gia đã bắt giữ 4 thành viên và phá hủy 9 máy chủ có liên quan đến hoạt động tống tiền LockBit (hay còn gọi là Bitwise Spider), đánh dấu đợt tấn công mới nhất nhằm vào băng nhóm tội phạm mạng từng có động cơ tài chính mạnh mẽ.
13:00 | 30/09/2024
Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.
Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.
12:00 | 14/01/2025