Trần Phong Anh Vũ
10-14-2009, 06:48 AM
1. Thông tin chung
Đầu tháng 10 vừa qua, một lỗ hổng rất nguy hiểm được phát hiện trong tŕnh duyệt Google Chrome. Lỗ hổng này cho phép hacker có thể thực thi mă độc trên máy tính của người sử dụng.
2. Mô tả kỹ thuật
Google Chrome sử dụng engine V8 để xử lư JavaScript. Lỗ hổng được công bố nằm trong quá tŕnh xử lư số thực của V8 dẫn đến lỗi tràn bộ đệm.
Cụ thể, lỗ hổng mới được xác định là ở hàm dtoa() của engine V8. Hàm này được sử dụng trong việc chuyển một chuỗi kí tự sang số thực ở dạng dấu phẩy động (float). Do thực hiện không tốt việc kiểm tra độ dài tham số vào, việc thực thi hàm sẽ dẫn đến tràn bộ đệm cho phép chuyển điều khiển chương tŕnh và thực thi mă độc.
Lợi dụng lỗ hổng này, hacker có thể tạo ra các Website chứa mă độc và lừa người sử dụng truy nhập vào. Nếu thành công, hacker có thể kiểm soát máy tính của người dùng, cài đặt virus, ăn cắp các thông tin nhạy cảm...
3. Cập nhật bản vá
Bkis Security khuyến cáo người sử dụng nên cập nhật lên phiên bản mới nhất của Google Chrome là 3.0.195.24 tại đây ([Only registered and activated users can see links]).
Chuyên viên phân tích: Lê Đức Anh
Đầu tháng 10 vừa qua, một lỗ hổng rất nguy hiểm được phát hiện trong tŕnh duyệt Google Chrome. Lỗ hổng này cho phép hacker có thể thực thi mă độc trên máy tính của người sử dụng.
2. Mô tả kỹ thuật
Google Chrome sử dụng engine V8 để xử lư JavaScript. Lỗ hổng được công bố nằm trong quá tŕnh xử lư số thực của V8 dẫn đến lỗi tràn bộ đệm.
Cụ thể, lỗ hổng mới được xác định là ở hàm dtoa() của engine V8. Hàm này được sử dụng trong việc chuyển một chuỗi kí tự sang số thực ở dạng dấu phẩy động (float). Do thực hiện không tốt việc kiểm tra độ dài tham số vào, việc thực thi hàm sẽ dẫn đến tràn bộ đệm cho phép chuyển điều khiển chương tŕnh và thực thi mă độc.
Lợi dụng lỗ hổng này, hacker có thể tạo ra các Website chứa mă độc và lừa người sử dụng truy nhập vào. Nếu thành công, hacker có thể kiểm soát máy tính của người dùng, cài đặt virus, ăn cắp các thông tin nhạy cảm...
3. Cập nhật bản vá
Bkis Security khuyến cáo người sử dụng nên cập nhật lên phiên bản mới nhất của Google Chrome là 3.0.195.24 tại đây ([Only registered and activated users can see links]).
Chuyên viên phân tích: Lê Đức Anh