Google Chrome 81 vừa ra mắt ba tuần trước nhưng đã xuất hiện hai lỗ hổng bảo mật nghiêm trọng. Theo các nhà nghiên cứu, tin tặc có thể lạm dụng chúng để tấn công và kiểm soát hệ thống máy tính của người dùng.
Sau khi tiếp nhận thông tin, Google đã nhanh chóng phát hành bản vá bảo mật, đồng thời khuyến nghị người dùng nhanh chóng cập nhật để tránh rủi ro. Theo Prudhvikumar Bommana, quản lý kỹ thuật của Google Chrome, hai lỗ hổng bảo mật trên do Zhe Jin, chuyên gia tại công ty bảo mật Qihoo 360 (Trung Quốc), phát hiện ra. Một trong hai lỗ hổng có mã hiệu CVE-2020-6462, được đánh giá thuộc dạng use-after-free (lỗi bộ nhớ, cho phép tin tặc tấn công sau khi người dùng tương tác với mã độc), ảnh hưởng đến chức năng lập lịch tác vụ của Chrome. Zhe Jin đã nhận được khoảng tiền thưởng 10.000 USD cho phát hiện này. Trong khi lỗ hổng thứ hai mang mã hiệu CVE-2020-6461 lại ảnh hưởng đến bộ lưu trữ thiết bị.
Trước đó, bản cập nhật Chrome ngày 15/4 cũng bị các nhà nghiên cứu tại công ty bảo mật Qihoo 360 (Trung Quốc) phát hiện chứa lỗ hổng nghiêm trọng. Như thường lệ, chi tiết về những lỗ hổng trên vẫn chưa được công bố, dành thời gian cho người dùng cập nhật bản vá bảo mật trước khi bị tin tặc lạm dụng thông tin đó để khai thác và chiếm quyền thiết bị của nạn nhân.
Các nhà nghiên cứu chỉ tiết lộ cả hai lỗ hổng đều thuộc dạng use-after-free, tin tặc có thể lợi dụng lỗi này phá vỡ cấu trúc và sửa đổi dữ liệu trong bộ nhớ thực thi mã tùy ý của Chrome, từ đó chiếm quyền và thực hiện các cuộc tấn công thực thi mã từ xa trên hệ thống hoặc phần mềm bị ảnh hưởng.
Để khai thác lỗ hổng CVE-2020-6461, ảnh hưởng đến bộ lưu trữ thiết bị, tin tặc buộc phải tạo một trang web độc hại, sau đó thuyết phục nạn nhân truy cập vào đó. CVE-2020-6462 tồn tại trong chức năng lập lịch tác vụ của Chrome, nhưng cũng yêu cầu phương pháp khai thác tương tự để kẻ tấn công thực thi mã tùy ý. Kết quả hai kịch bản đều giống nhau: kẻ tấn công có thể thỏa hiệp và chiếm quyền kiểm soát hệ thống mục tiêu.
Hiện tại chưa có bằng chứng cho thấy những lỗ hổng này bị khai thác ngoài thực tế. Tuy nhiên, dù đang sử dụng máy tính hệ điều hành Windows, macOS hay Linux, người dùng đều được khuyến cáo cập nhật phiên bản Chrome 81.0.4044.129 để giảm thiểu rủi ro.
Để nhận bản cập nhật mới theo cách thủ công, bạn làm như sau: Nhấp vào dấu ba chấm trên cùng bên phải, chọn Trợ giúp > Giới thiệu về Google Chrome (Help > About Google Chrome).