Google vừa xác nhận một lỗ hổng “zero-day” với tên gọi CVE-2021-30554 đã được tìm thấy ở Chrome. Tin tặc có thể dùng lỗ hổng này để khai thác và xâm nhập máy tính người dùng.
CVE-2021-30554 là lỗ hổng zero-day thứ 7 kể từ đầu năm và là lỗ hổng thứ hai xuất hiện trong một tuần. Google thường làm tốt công việc phát hành các bản sửa lỗi một cách nhanh chóng nhưng chúng chỉ hiệu quả khi người dùng Chrome cập nhật trình duyệt kịp thời.
Google đã xác nhận một vấn đề bảo mật nghiêm trọng và kêu gọi người dùng nâng cấp. Ảnh: BankInfoSecurity. |
Hiện có ít thông tin về lỗ hổng này ngoài việc nó được tìm thấy trong WebGL, một API JavaScript dùng để kết xuất. Google sẽ giữ thông tin chi tiết về zero-day ở mức tối thiểu để giúp người dùng Chrome có thêm thời gian cho việc cập nhật.
“Google biết rằng việc khai thác CVE-2021-30554 đang diễn ra", Srinivas Sista, Giám đốc Kỹ thuật của Chrome cho biết.
Nếu phiên bản trình duyệt của bạn trên Linux, macOS và Windows là 91.0.4472.114 trở lên thì bạn vẫn an toàn. Tuy nhiên, nếu bạn chưa cập nhật, hãy vào Cài đặt > Trợ giúp > Giới thiệu về Google Chrome, trình duyệt sẽ tự động nâng cấp lên phiên bản mới nhất.
Google cũng xác nhận rằng 3 mối đe dọa cấp độ cao khác đã được vá trong phiên bản này.
Kaspersky, hãng sản xuất và phân phối phần mềm bảo mật, cho biết một nhóm tin tặc mới có tên PuzzleMaker đã thành công trong việc xâu chuỗi các lỗi zero-day của Chrome để cài đặt phần mềm độc hại trên hệ thống Windows.
Microsoft đã đưa ra cảnh báo khẩn cấp về vấn đề này, đồng thời tiến hành cập nhật các bản vá bảo mật cho người dùng Windows.
Google Chrome có tới 2 tỷ người dùng. Kaspersky khuyến cáo người dùng cảnh giác và đảm bảo cả trình duyệt và hệ điều hành luôn được cập nhật.