Chrome 93 vá 11 lỗ hổng bảo mật, người dùng cần cập nhật ngay!

Chrome 93.0.4577.82 là phiên bản cập nhật mới nhất vừa được Goolge tung ra để khắc phục 11 lỗ hỏng bảo mật, bao gồm 2 lỗ hổng zero-days.

Bản vá khẩn cấp Chrome 93.0.4577.82

Chrome 93.0.4577.82 được tung ra để khắc phục 11 lỗ hổng bảo mật. Cụ thể:

• CVE-2021-21148 - Lỗ hổng Buffer Overflow trong V8
• CVE-2021-21166 - Vấn đề tái chế đối tượng trong âm thanh
• CVE-2021-21193 - Lỗ hổng Use-after-free trong Blink
• CVE-2021-21206 - Lỗ hổng Use-after-free trong Blink
• CVE-2021-21220 - Lỗ hổng xác thực đầu vào trong V8.
• CVE-2021-21224 - Lỗ hổng Type confusion trong V8
• CVE-2021-30551 - Lỗ hổng Type confusion trong V8
• CVE-2021-30554 - Lỗ hổng Use-after-free trong WebGL
• CVE-2021-30563 - Lỗ hổng Type confusion trong V8
• CVE-2021-30632 - Lỗ hổng liên quan đến việc "ghi ngoài giới hạn trong công cụ JavaScript V8"
• CVE-2021-30633 - Lỗ hổng liên quan đến việc "Indexed DB API"

Trong đó, CVE-2021-30632 và CVE-2021-30633 là 2 lỗ hổng zero-day đang bị hacker tích cực khai thác. Tuy nhiên, những thông tin khác như thời điểm, cách thức và vị trí hacker khai thác lỗ hổng không được Google hé lộ chi tiết. Đây có lẽ là phương pháp bảo vệ mà Google áp dụng để tránh kẻ xấu tiếp tục lợi dụng lỗ hổng.

Tính tới thời điểm hiện tại của năm 2021, Google đã phải vá tới 11 lỗ hổng zero-day trên trình duyệt Chrome. Google khuyến cáo người dùng nên cập nhật ngay phiên bản mới nhất 93.0.4577.82 để khắc phục các lỗ hổng bảo mật.

Cách cập nhật Google Chrome phiên bản mới nhất:

Mở Google Chrome > Chọn biểu tượng 3 chấm dọc > Chọn Trợ giúp > Chọn Giới thiệu về Google Chrome > Chờ vài giây để Chrome kiểm tra và update lên phiên bản mới > Nhấn chọn Chạy lại. Vậy là bạn đã cập nhật thành công rồi!

Ngoài vá lỗ hổng bảo mật, Chorme 93 có gì mới?

• Vị trí cửa sổ đa màn hình: Thêm các API thông tin màn hình mới và cải tiến từng bước cho các API vị trí cửa sổ hiện có, cho phép các ứng dụng web cung cấp trải nghiệm đa màn hình hấp dẫn. Nói cách khác, tính năng này mở khóa không gian làm việc đa màn hình hiện đại cho các ứng dụng web.
• API Clipboard: SVG: Thêm hỗ trợ image/svg+xml vào API Async Clipboard. Các trang web hỗ trợ SVG có thể muốn sao chép hình ảnh SVG trên các trang như Figma và Photopea.
• Tính năng ghi chú mới: Bổ sung thêm một cách để ứng dụng web tự xác định là ứng dụng ghi chú và một cách khai báo để thực hiện một hành động ghi chú đơn giản: mở một URL để tạo một ghi chú mới.
• API WEBOTP (Hỗ trợ chéo nhiều thiết bị): Google có kế hoạch hỗ trợ API WebOTP trên máy tính để bàn khi cả Chome Desktop và Chome Android đều đăng nhập vào cùng một tài khoản Google. API WebOTP cung cấp cho nhà phát triển khả năng lập trình đọc mã một lần từ các SMS có định dạng đặc biệt được gửi từ nguồn để giảm sự phiền hà cho người dùng. Hiện tại, tính năng này chỉ hỗ trợ các thiết bị di động có hỗ trợ SMS.
• Khả năng điều chỉnh màu chủ đề: Thuộc tính "media" của phần tử meta sẽ được sử dụng cho meta[name="theme-color"] nên nhà phát triển web có thể điều chỉnh màu chủ đề của trang web dựa trên truy vấn media (ví dụ dark và light mode).
• Loại bỏ 3DES trong TLS: TLS_RSA_WITH_3DES_EDE_CBC_SHA là một phần còn lại của kỷ nghiên SSL 2.0 và SSL 3.0. 3DES trong TLS rất dễ bị tấn công bởi Sweet32. Hơn nữa, nó còn là một phần của bộ mật mã CBC nên rất dễ bị tấn công Lucky Thirteen. Vì vậy, việc loại bỏ 3DES là cần thiết để nâng cao tính bảo mật.

Nguồn: Tổng hợp