1. Thông tin chung
Đầu tháng 10 vừa qua, một lỗ hổng rất
nguy hiểm được phát hiện trong trình duyệt Google Chrome. Lỗ hổng này cho phép
hacker có thể thực thi mã độc trên máy tính của người sử dụng.
|
Ngày
công bố |
Phần
mềm có lỗi |
Mức
độ nguy hiểm |
|
01/10/2009 |
Google Chrome trước phiên bản
3.0.195.24 |
Rất
cao |
2. Mô
tả kỹ thuật
Google Chrome sử dụng engine V8 để xử lý JavaScript. Lỗ hổng được
công bố nằm trong quá trình xử lý số thực của V8 dẫn đến lỗi tràn bộ đệm.
Cụ thể, lỗ hổng mới được xác định là ở hàm dtoa() của engine V8. Hàm này
được sử dụng trong việc chuyển một chuỗi kí tự sang số thực ở dạng dấu phẩy động
(float). Do thực hiện không tốt việc kiểm tra độ dài tham số vào, việc thực thi
hàm sẽ dẫn đến tràn bộ đệm cho phép chuyển điều khiển chương trình và thực thi
mã độc.
Lợi dụng lỗ hổng này, hacker có thể tạo ra các Website chứa mã
độc và lừa người sử dụng truy nhập vào. Nếu thành công, hacker có thể kiểm soát
máy tính của người dùng, cài đặt virus, ăn cắp các thông tin nhạy
cảm...
3. Cập
nhật bản vá
Bkis Security khuyến cáo người sử dụng nên
cập nhật lên phiên bản mới nhất của Google Chrome là 3.0.195.24 tại đây.
Chuyên viên phân tích: Lê Đức Anh