Google thừa nhận Chrome gặp lỗi tràn bộ nhớ đệm trong một thư viện phát triển phần mềm mã nguồn mở hỗ trợ hiển thị phông chữ.

Lỗ hổng do nhà nghiên cứu Sergei Glazunov thuộc dự án Google Project Zero phát hiện và gửi cảnh báo tới Google ngày 19/10. Đây là lỗi phá hủy bộ nhớ, hay được gọi là lỗi tràn bộ đệm trong FreeType - một thư viện phát triển phần mềm mã nguồn mở hỗ trợ hiển thị phông chữ khác nhau trên Chrome.

"Google đã nhận được báo cáo về việc lỗ hổng này bị khai thác", Prudhvikumar Bommana thuộc nhóm Chrome viết trên blog, nhưng không tiết lộ chi tiết về các cuộc tấn công.

Sau hai ngày, Google đã phát hành bản vá cho Chrome. Andrew R. Whalley, một thành viên của nhóm bảo mật Chrome, khẳng định đội ngũ của ông đã phản ứng "siêu nhanh" với lỗ hổng zero-day được xếp ở mức nguy cơ cao này.


Lỗ hổng CVE-2020-15999 đang bị hacker khai thác để tấn công người dùng. Ảnh: Threatpost.

Để khai thác lỗ hổng được gắn mã CVE-2020-15999, tin tặc sẽ truyền ảnh định dạng PNG kích thước lớn vào thư viện của FreeType, trong khi thư viện này chỉ sử dụng các giá trị 32-bit, nên sẽ gây tràn bộ nhớ đệm.

"Lợi dụng lỗi này, tin tặc có thể thực hiện mã lệnh thực thi tùy ý từ xa để chiếm quyền điều khiển máy tính nạn nhân, thâm nhập sâu và xem được các thông tin nhạy cảm", các chuyên gia bảo mật của VSEC giải thích. "Nguy hiểm hơn, nếu máy tính của nạn nhân nằm trong mạng nội bộ của doanh nghiệp, hacker có thể trở thành cửa ngõ dẫn tin tặc xâm nhập vào hệ thống CNTT, làm lộ thông tin mật. Do đó, người dùng nên cập nhật Chrome phiên bản mới nhất".

Một số nhà nghiên cứu bảo mật đã lên Twitter khuyến khích người dùng cập nhật trình duyệt Chrome của trên thiết bị của họ ngay lập tức để tránh trở thành nạn nhân của những kẻ đang khai thác lỗ hổng.

"Hãy đảm bảo bạn cập nhật Chrome của mình ngay hôm nay", chuyên gia tư vấn bảo mật Sam Stepanyan tại London khuyến cáo.

Ngoài lỗ hổng FreeType, Google tuần này cũng vá 4 lỗi khác của Chrome, trong đó có ba lỗi nguy cơ cao và một lỗi ở mức trung bình.

CHỦ ĐỀ MỚI:

CHỦ ĐỀ NGẪU NHIÊN: