Trong số các lỗ hổng được báo cáo bởi các nhà nghiên cứu bên ngoài, có 08 lỗ hổng được đánh giá quan trọng, 18 lỗ hổng có mức độ trung bình và 9 lỗ hổng mức thấp.
Lỗ hổng nghiêm trọng thứ nhất có định danh CVE-2019-13725, là lỗ hổng use-after-free trong thành phần Bluetooth, được báo cáo bởi Gengming Liu và Jianyu Chen của Phòng thí nghiệm bảo mật Tencent Keen. Lỗ hổng nghiêm trọng thứ hai là lỗ hổng CVE-2019-13726. Đây là lỗ hổng tràn bộ đệm heap trong trình quản lý mật khẩu, được báo cáo bởi Sergei Glazunov của Google Project Zero. Google tiết lộ rằng họ đã trả 20.000 USD cho lỗ hổng use-after-free, nhưng vẫn chưa xác định được tiền thưởng cho lỗ hổng tràn bộ đệm.
Các lỗ hổng quan trọng được xử lý trong phiên bản Chrome 79 bao gồm lỗ hổng thực thi chính sách không đầy đủ trong WebSockets (CVE-2019-13727), lỗ hổng ghi ngoài phạm vi (out-of-bounds) trong phiên bản V8 (CVE-2019-13728 và CVE-2019-13735), lỗ hổng use-after-free trong WebSockets (CVE-2019-13729), lỗ hổng type confusion trong V8 (CVE-2019-13730 và CVE-2019-13764), lỗ hổng use-after-free trong WebAudio (CVE-2019-13732) và ghi ngoài phạm vi trong SQLite (CVE -2019-13734).
Các lỗ hổng mức độ trung bình bao gồm: lỗ hổng tràn số nguyên trong PDFium; lỗ hổng thực thi chính sách không đầy đủ trong tự động hoàn tất, điều hướng, Omnibox, cookies, âm thanh và các công cụ dành cho nhà phát triển; lỗ hổng bảo mật UI hoạt động không chính xác trong Omnibox, chia sẻ và xử lý giao thức bên ngoài; lỗ hổng xác nhận không đầy đủ đầu vào không đáng tin cậy trong Blink; lỗ hổng sử dụng khi chưa được khởi tạo trong render và SQLite; các lỗ hổng đọc ngoài giới hạn và xác nhận dữ liệu không đầy đủ trong SQLite.
Các lỗ hổng có mức độ nghiêm trọng thấp được vá trong Chrome 79 bao gồm: lỗ hổng thực thi chính sách không đầy đủ trong các tiện ích mở rộng, điều hướng, tải xuống và thanh toán; lỗ hổng bảo mật UI không chính xác trong in ấn, quảng cáo xen kẽ và Omnibox.
Google cũng bổ sung tính năng cảnh báo người dùng khi sử dụng lại mật khẩu trong phiên bản Chrome 79. Cụ thể, trình duyệt này sẽ cảnh báo người dùng về những mật khẩu trùng khi họ cố gắng sử dụng để đăng nhập vào trang web. Trước đây, tính năng này có sẵn thông qua một tiện ích mở rộng, nhưng hiện đã được tích hợp vào trình duyệt.
Tổng cộng, Google đã trả 80.000 USD tiền thưởng cho các nhà nghiên cứu bảo mật, nhưng họ vẫn chưa tiết lộ số tiền phải trả cho 10 lỗ hổng, trong đó bao gồm 01 lỗ hổng nghiêm trọng và 04 lỗ hổng quan trọng.
Phiên bản mới của trình duyệt Chrome hiện đã có sẵn để tải xuống với số hiệu 79.0.3945.79, dành cho hệ điều hành Windows, Mac và Linux.
T.U
Theo Security Week
14:00 | 21/11/2019
13:00 | 03/02/2020
14:00 | 13/09/2019
15:00 | 02/07/2019
09:00 | 03/04/2024
Mới đây, công ty Synology (Đài Loan) đã giải quyết các lỗ hổng nghiêm trọng trong các phiên bản phần mềm Surveillance Station DSM 7.2, DSM 7.1 và DSM 6.2. Các lỗ hổng này có thể gây ra việc mất dữ liệu, mất kiểm soát hệ thống và gián đoạn dịch vụ quan trọng.
08:00 | 12/03/2024
Hai lỗ hổng lần lượt có mã định danh CVE-2024-24401 và CVE-2024-24402 được tìm thấy trong Nagios XI - một công cụ giám sát hạ tầng mạng trong doanh nghiệp. Đáng lưu ý, cả hai lỗ hổng đều chưa có điểm CVSS.
16:00 | 08/03/2024
Microsoft đã phát hành bản cập nhật Windows 11 'Moment 5' cho các phiên bản 23H2 và 22H2, bắt đầu triển khai các tính năng mới, chẳng hạn như các plugin và kỹ năng Windows Copilot, truy cập bằng giọng nói, các cải tiến AI cho ClipChamp và Photos và trình tường thuật.
15:00 | 31/01/2024
Trong tháng 01, Microsoft, Oracle và VMWare đều phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024