Chrome phiên bản 79 vá các lỗ hổng nghiêm trọng

16:00 | 26/12/2019 | TIN TỨC SẢN PHẨM

Mới đây, Google đã phát hành phiên bản Chrome 79, giải quyết tổng số 51 lỗ hổng bảo mật, bao gồm 2 lỗ hổng được đánh giá ở mức nghiêm trọng. Đáng lưu ý, có 37 lỗ hổng được báo cáo bởi các nhà nghiên cứu bên ngoài.

Chrome phiên bản 79 vá các lỗ hổng nghiêm trọng

Trong số các lỗ hổng được báo cáo bởi các nhà nghiên cứu bên ngoài, có 08 lỗ hổng được đánh giá quan trọng, 18 lỗ hổng có mức độ trung bình và 9 lỗ hổng mức thấp.

Lỗ hổng nghiêm trọng thứ nhất có định danh CVE-2019-13725, là lỗ hổng use-after-free trong thành phần Bluetooth, được báo cáo bởi Gengming Liu và Jianyu Chen của Phòng thí nghiệm bảo mật Tencent Keen. Lỗ hổng nghiêm trọng thứ hai là lỗ hổng CVE-2019-13726. Đây là lỗ hổng tràn bộ đệm heap trong trình quản lý mật khẩu, được báo cáo bởi Sergei Glazunov của Google Project Zero. Google tiết lộ rằng họ đã trả 20.000 USD cho lỗ hổng use-after-free, nhưng vẫn chưa xác định được tiền thưởng cho lỗ hổng tràn bộ đệm.

Các lỗ hổng quan trọng được xử lý trong phiên bản Chrome 79 bao gồm lỗ hổng thực thi chính sách không đầy đủ trong WebSockets (CVE-2019-13727), lỗ hổng ghi ngoài phạm vi (out-of-bounds) trong phiên bản V8 (CVE-2019-13728 và CVE-2019-13735), lỗ hổng use-after-free trong WebSockets (CVE-2019-13729), lỗ hổng type confusion trong V8 (CVE-2019-13730 và CVE-2019-13764), lỗ hổng use-after-free trong WebAudio (CVE-2019-13732) và ghi ngoài phạm vi trong SQLite (CVE -2019-13734).

Các lỗ hổng mức độ trung bình bao gồm: lỗ hổng tràn số nguyên trong PDFium; lỗ hổng thực thi chính sách không đầy đủ trong tự động hoàn tất, điều hướng, Omnibox, cookies, âm thanh và các công cụ dành cho nhà phát triển; lỗ hổng bảo mật UI hoạt động không chính xác trong Omnibox, chia sẻ và xử lý giao thức bên ngoài; lỗ hổng xác nhận không đầy đủ đầu vào không đáng tin cậy trong Blink; lỗ hổng sử dụng khi chưa được khởi tạo trong render và SQLite; các lỗ hổng đọc ngoài giới hạn và xác nhận dữ liệu không đầy đủ trong SQLite.

Các lỗ hổng có mức độ nghiêm trọng thấp được vá trong Chrome 79 bao gồm: lỗ hổng thực thi chính sách không đầy đủ trong các tiện ích mở rộng, điều hướng, tải xuống và thanh toán; lỗ hổng bảo mật UI không chính xác trong in ấn, quảng cáo xen kẽ và Omnibox.

Google cũng bổ sung tính năng cảnh báo người dùng khi sử dụng lại mật khẩu trong phiên bản Chrome 79. Cụ thể, trình duyệt này sẽ cảnh báo người dùng về những mật khẩu trùng khi họ cố gắng sử dụng để đăng nhập vào trang web. Trước đây, tính năng này có sẵn thông qua một tiện ích mở rộng, nhưng hiện đã được tích hợp vào trình duyệt.

Tổng cộng, Google đã trả 80.000 USD tiền thưởng cho các nhà nghiên cứu bảo mật, nhưng họ vẫn chưa tiết lộ số tiền phải trả cho 10 lỗ hổng, trong đó bao gồm 01 lỗ hổng nghiêm trọng và 04 lỗ hổng quan trọng.

Phiên bản mới của trình duyệt Chrome hiện đã có sẵn để tải xuống với số hiệu 79.0.3945.79, dành cho hệ điều hành Windows, Mac và Linux.

T.U

Theo Security Week

‹ › ×

Tin liên quan

Cảnh báo lỗi bảo mật nghiêm trọng trên Google Chrome

14:00 | 21/11/2019

Mới dây, Cục An toàn thông tin (Bộ Thông tin và truyền thông) đã đưa ra cảnh báo người dùng Việt Nam về việc hiện trình duyệt Google Chrome đang gặp lỗi bảo mật nghiêm trọng.

Google khai tử một số tính năng của Chrome

13:00 | 03/02/2020

Mới đây, Google đã công bố mốc thời gian khai tử các Chrome Apps với hạn chót là vào tháng 6/2022.

Cách xem lại mật khẩu đã lưu trên Chrome của Android

14:00 | 13/09/2019

Trình duyệt Chrome thường hiển thị hộp thoại lưu mật khẩu khi người dùng đăng nhập vào các trang web. Người dùng có thể truy cập, xóa bỏ và trích xuất các tài khoản, mật khẩu đã lưu này thông qua trình duyệt của thiết bị di động. Bài báo này hướng dẫn người dùng cách quản lý mật khẩu trên trình duyệt Chrome sử dụng hệ điều hành Android.

Google Chrome đang trở thành phần mềm gián điệp nguy hiểm nhất

15:00 | 02/07/2019

Theo tờ Washington Post (Mỹ), trình duyệt Google Chrome đang thực hiện theo dõi người dùng và thu lợi nhuận từ việc này.

Tin cùng chuyên mục

Synology phát hành bản vá cho các lỗ hổng nghiêm trọng

09:00 | 03/04/2024

Mới đây, công ty Synology (Đài Loan) đã giải quyết các lỗ hổng nghiêm trọng trong các phiên bản phần mềm Surveillance Station DSM 7.2, DSM 7.1 và DSM 6.2. Các lỗ hổng này có thể gây ra việc mất dữ liệu, mất kiểm soát hệ thống và gián đoạn dịch vụ quan trọng.

Nagios phát hành bản vá cho công cụ giám sát Nagios XI

08:00 | 12/03/2024

Hai lỗ hổng lần lượt có mã định danh CVE-2024-24401 và CVE-2024-24402 được tìm thấy trong Nagios XI - một công cụ giám sát hạ tầng mạng trong doanh nghiệp. Đáng lưu ý, cả hai lỗ hổng đều chưa có điểm CVSS.

Những tính năng mới của bản cập nhật Windows 11 'Moment 5'

16:00 | 08/03/2024

Microsoft đã phát hành bản cập nhật Windows 11 'Moment 5' cho các phiên bản 23H2 và 22H2, bắt đầu triển khai các tính năng mới, chẳng hạn như các plugin và kỹ năng Windows Copilot, truy cập bằng giọng nói, các cải tiến AI cho ClipChamp và Photos và trình tường thuật.

Cập nhật bản vá lỗ hổng bảo mật tháng 1

15:00 | 31/01/2024

Trong tháng 01, Microsoft, Oracle và VMWare đều phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.