Mục lục
Cục An toàn thông tin (Bộ Thông tin và truyền thông) đưa ra cảnh báo người dùng Việt Nam về việc hiện trình duyệt Google Chrome đang dính lỗi bảo mật nghiêm trọng.
Lỗi bảo mật lỗ hổng trong ứng dụng Google Chrome
Tại Mỹ Google đã thông báo vào Halloween rằng họ đã giải quyết hai lỗ hổng nghiêm trọng trong Google Chrome trên Windows, macOS và Linux với việc phát hành phiên bản 78.0.3904.87.
Công ty cũng cho biết trong thông báo của mình rằng “đã biết về các báo cáo rằng việc khai thác” đối với một trong những lỗ hổng, CVE-2019-13720, đã “tồn tại trong tự nhiên”.
Cả hai vấn đề là các lỗi bảo mật trên “ứng dụng miễn phí”
- CVE-2019-13720 liên quan đến lỗ hổng sử dụng miễn phí trong âm thanh Chrome;
- CVE-2019-13721 là lỗ hổng miễn phí sử dụng trong tiện ích PDFium mà Chrome sử dụng để quản lý tài liệu PDF
Các lỗ hổng được phát hiện bởi các nhà nghiên cứu của Kaspersky. Họ đã khai thác cho CVE-2019-13720
Theo bài đăng trên blog của Kaspersky, khai thác được tìm thấy được nhúng trong “cổng thông tin tiếng Hàn” được sử dụng để phân phối phần mềm độc hại thông qua các tập lệnh JavaScript độc hại.
Sáng ngày 5/11, đồng loạt các báo lớn ở Việt Nam đưa tin về “Cảnh báo lỗi bảo mật của Google Chrome“ như Vietnamplus, tuổi trẻ….
Qua công tác theo dõi thông tin trên không gian mạng và hoạt động hợp tác, chia sẻ thông tin với các tổ chức lớn về an toàn thông tin trong và ngoài nước, Cục An toàn thông tin Quốc gia ghi nhận xu hướng khai thác lỗ hổng (CVE-2019-13720) trong trình duyệt Google Chrome tại Việt Nam
Lỗi bảo mật này ảnh hưởng như thế nào
Đây là lỗ hổng cho phép đối tượng tấn công chèn và thực thi mã lệnh từ xa một cách tự động. Do vậy, tội phạm mạng có thể cài cắm mã khai thác vào các trang web người dùng hay truy cập hoặc lừa người dùng truy cập vào các trang web độc hại khiến máy tính/thiết bị của người dùng bị tấn công.
Update Chrome mới mã 78.0.3904.87
Hiện tại, Google đã nhanh chóng phát hành phiên bản Chrome mới (mã 78.0.3904.87) đồng thời đưa ra cảnh báo hàng tỷ người dùng nên cài đặt bản cập nhật phần mềm khẩn cấp để vá hai lỗ hổng nghiêm trọng trên.
Cục An toàn thông tin đã gửi thông báo đến các cơ quan, tổ chức, cá nhân và khuyến nghị quản trị viên tại các cơ quan, đơn vị và người dùng thực hiện ngay các biện pháp xử lý kịp thời.
Google cho biết họ đã trao cho các nhà nghiên cứu của Kaspersky 7.500 đô la cho việc tiết lộ CVE-2019-13721, phần thưởng cho CVE-2019-13720 chưa được xác định. Thông tin thêm về các chính sách tiết lộ và thưởng cho lỗ hổng của công ty (ít nhất là liên quan đến trình duyệt của công ty) có thể được tìm thấy trên Trang bảo mật Google Chrome .
Tags google chormetrình duyệt google chorme