Cập nhật trình duyệt Chrome ngay để vá lỗ hổng zero-day đang bị khai thác trong thực tế

Thứ Hai vừa qua, Google đã phát hành các bản cập nhật bảo mật để giải quyết lỗ hổng zero-day mức cao trong trình duyệt web Chrome mà họ cho là đang bị khai thác trong thực tế.

Lỗ hổng có định danh CVE-2022-2294, liên quan đến vấn đề tràn heap (heap overflow) trong thành phần WebRTC cung cấp khả năng truyền âm thanh và video thời gian thực trong trình duyệt mà không cần cài đặt plugin hoặc tải xuống các ứng dụng khác.

Heap buffer overflow xảy ra khi dữ liệu bị ghi đè trong bộ nhớ heap, dẫn đến thực thi mã tùy ý hoặc gây từ chối dịch vụ (DoS).

MITER giải thích rằng: “Các lỗ hổng tràn Heap có thể được lợi dụng để ghi đè các con trỏ hàm trong bộ nhớ, khiến nó trỏ tới đoạn mã của kẻ tấn công để thực thi nó". Điều này thường có thể được sử dụng để phá vỡ bảo mật của bất kỳ dịch vụ nào."

Jan Vojtesek đến từ nhóm Avast Threat Intelligence, đã báo cáo lỗ hổng vào ngày 1 tháng 7 năm 2022, cho biết lỗ hổng này cũng ảnh hưởng đến phiên bản Android của Chrome.

Chi tiết liên quan đến lỗ hổng cũng như các thông tin cụ thể khác liên quan đến chiến dịch tấn công không được tiết lộ cho đến khi hầu hết người dùng đã cập nhật bản vá nhằm ngăn chặn việc lạm dụng khai thác nhiều hơn.

CVE-2022-2294 là lỗ hổng zero-day thứ tư trong Chrome được giải quyết trong năm nay, 3 zero-day khác bao gồm:

- CVE-2022-0609: Lỗ hổng Use-after-free trong Animation

- CVE-2022-1096& CVE-2022-1364 : Lỗ hổng Type confusion trong V8

Người dùng nên cập nhật lên phiên bản 103.0.5060.114 dành cho Windows, macOS và Linux và 103.0.5060.71 cho Android để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản vá lỗ hổng khi chúng có sẵn.

Tiết lộ này được đưa ra sau khi Google Project Zero cho biết tổng cộng có 18 lỗ hổng bảo mật đã bị khai thác dưới dạng zero-day chưa được vá trong năm nay.

Nguồn: thehackernews.com.