Lỗi Chrome cho phép tin tặc gửi mã độc tới trình duyệt như là file PDF

Google mới phát hành bản vá lỗi khẩn cấp cho trình duyệt  Chrome vì nó cho phép tin tặc gửi mã độc tới trình duyệt  và cướp quyền điều khiển toàn bộ hệ thống  của người dùng .

 

Lỗi này trong Chrome , được định danh CVE-2016-1681 , ảnh hưởng tới công cụ đọc file PDF tích hợp trong trình duyệt  có tên gọi PDFium . Google đã phát hành bản vá lỗi Chrome 51.0.2704.63 hôm 25/5 và họ đưa ra bản cập nhật an ninh khác đầu tháng 6 .

Aleksandar Nikolic , làm việc ở Cisco , đã phát hiện ra lỗi trên và nhận được khoản tiền thưởng 3000$ của Google . CVE-2016-1681 cho phép tin tặc nhúng ảnh JPEG2000 bên trong file PDF , và khi mở nó trong trình duyệt  sẽ bật “ Buffer Overflow” cho phép tin tặc chạy mã tùy biến trên hệ thống  của nạn nhân .

Thực chất lỗ hổng này không  phải trong Chrome hoặc PDFium , nhưng trong thư viện OpenJPEG phân tích những file JPEG2000 trước khi hiển thị nó trong trình duyệt  .

Những file PDF ngày nay rất thịnh hành vì thế chúng ta cần nghĩ kĩ trước khi mở nó khi nhận được từ ai đó gửi về . Để an toàn người dùng cần cập nhật bản Chrome 51.0.2704.63 hoặc cao hơn .