Nhóm tin tặc PuzzleMaker đă liên tục nhắm vào Chrome từ đầu năm 2021. Lỗ hổng zero-day mới này là lần tấn công thứ 7 của họ.
Google vừa xác nhận một lỗ hổng “zero-day” với tên gọi CVE-2021-30554 đă được t́m thấy ở Chrome. Tin tặc có thể dùng lỗ hổng này để khai thác và xâm nhập máy tính người dùng.
CVE-2021-30554 là lỗ hổng zero-day thứ 7 kể từ đầu năm và là lỗ hổng thứ hai xuất hiện trong một tuần. Google thường làm tốt công việc phát hành các bản sửa lỗi một cách nhanh chóng nhưng chúng chỉ hiệu quả khi người dùng Chrome cập nhật tŕnh duyệt kịp thời.
Google đă xác nhận một vấn đề bảo mật nghiêm trọng và kêu gọi người dùng nâng cấp. Ảnh: BankInfoSecurity.
Hiện có ít thông tin về lỗ hổng này ngoài việc nó được t́m thấy trong WebGL, một API JavaScript dùng để kết xuất. Google sẽ giữ thông tin chi tiết về zero-day ở mức tối thiểu để giúp người dùng Chrome có thêm thời gian cho việc cập nhật.
“Google biết rằng việc khai thác CVE-2021-30554 đang diễn ra", Srinivas Sista, Giám đốc Kỹ thuật của Chrome cho biết.
Nếu phiên bản tŕnh duyệt của bạn trên Linux, macOS và Windows là 91.0.4472.114 trở lên th́ bạn vẫn an toàn. Tuy nhiên, nếu bạn chưa cập nhật, hăy vào Cài đặt > Trợ giúp > Giới thiệu về Google Chrome, tŕnh duyệt sẽ tự động nâng cấp lên phiên bản mới nhất.
Google cũng xác nhận rằng 3 mối đe dọa cấp độ cao khác đă được vá trong phiên bản này.
Kaspersky, hăng sản xuất và phân phối phần mềm bảo mật, cho biết một nhóm tin tặc mới có tên PuzzleMaker đă thành công trong việc xâu chuỗi các lỗi zero-day của Chrome để cài đặt phần mềm độc hại trên hệ thống Windows.
Microsoft đă đưa ra cảnh báo khẩn cấp về vấn đề này, đồng thời tiến hành cập nhật các bản vá bảo mật cho người dùng Windows.
Google Chrome có tới 2 tỷ người dùng. Kaspersky khuyến cáo người dùng cảnh giác và đảm bảo cả tŕnh duyệt và hệ điều hành luôn được cập nhật.
VietBF@sưu tập