• Thứ Năm, 26/05/2011 19:58 (GMT+7)

    Google vá nhiều lỗi nghiêm trọng trong Chrome

    Bạch Đình Vinh
    Công ty bảo mật Vupen (Pháp) cho biết, Google vẫn chưa khắc phục được những lỗ hổng mà họ sử dụng để thoát khỏi sandbox.

    Hôm thứ Ba 24/5/2011, Google đã vá một số lỗ hổng trong Chrome, bao gồm cả lỗi mà Công ty Vupen cho biết là có thể bị sử dụng để vượt qua công nghệ chống khai thác sandbox của trình duyệt. Nhưng theo Vupen, bản Chrome 11.0.696.71 này (mà Google tung ra cho người sử dụng thông qua cơ chế cập nhật tự động của mình) không vá được lỗ hổng mà hồi đầu tháng này các nhà nghiên cứu của họ cho biết là có thể bị khai thác trên Windows 7.

    Đây là lần thứ 2 trong tháng này, Google tung ra bản cập nhật bảo mật cho phiên bản Chrome "ổn định" - chạy “mượt” nhất của trình duyệt.

    Google đã sửa 4 lỗ hổng trong bản cập nhật Chrome 11.0.696.71, bao gồm cả 2 lỗi bị đánh giá là "nghiêm trọng" (loại lỗi có thể cho phép kẻ tấn công trốn thoát khỏi cơ chế "sandbox" của Chrome) mà chính các kỹ sư bảo mật của Google tìm ra. Google đã vá 5 lỗi nghiêm trọng trong năm nay.

    Trong 2 lỗ hổng còn lại, 1 lỗi được xếp hạng nguy hiểm "cao" (lỗi này mang về cho nhà nghiên cứu đã phát hiện nó khoản tiền thưởng 1.000 USD) và 1 lỗi được dán nhãn nguy hiểm "thấp" trong hệ thống mức đe dọa của Google.

    Mặc dù Google từ chối xác nhận rằng, 2 lỗi nghiêm trọng nhất có thể bị những kẻ tấn công sử dụng để thoát ra khỏi sandbox của Chrome, và sau đó “gieo” mã độc hại trên máy tính, công ty bảo mật Vupen của Pháp nói rằng có khả năng là như vậy.

    Tuy nhiên ông Chaouki Bekar, CEO và là người đứng đầu nhóm nghiên cứu của Vupen cho biết, lỗi (hoặc những lỗi) mà các nhà nghiên cứu của Vupen thông báo đã tìm thấy - và sau đó tìm ra cách để khai thác - hồi đầu tháng này vẫn chưa được vá. "Các lỗ hổng gần đây chúng tôi phát hiện trong Chrome - bao gồm cả lỗi giúp vượt qua sandbox - vẫn chưa được vá và mã khai thác của chúng tôi vẫn làm việc với phiên bản Chrome 11.0.696.71", ông Bekar nói.

    Hôm thứ Ba, phát ngôn viên Jay Nancarrow của Google từ chối bình luận thêm về các khẳng định của Vupen, chỉ đề cập tới những tuyên bố trước đây rằng Google không thể điều tra các lỗi vì Vupen không chia sẻ chi tiết của chúng.

    Có thể tải Chrome 11 về cho Windows, Mac OS X và Linux từ website của Google. Người dùng đang chạy trình duyệt sẽ được tự động cập nhật lên phiên bản mới.

    Nguồn: Computerworld, 25/5/2011