Cập nhật trình duyệt Chrome ngay để vá lỗ hổng zero-day mới đã bị khai thác trong thực tế

Thứ Năm vừa qua, Google đã phát hành các bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day mới trong trình duyệt web Chrome.

Lỗ hổng có định danh CVE-2022-4135, được xếp ở mức cao, liên quan đến lỗi tràn bộ đệm heap (heap buffer overflow) trong thành phần GPU. Nhà nghiên cứu Clement Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) được ghi nhận là người đã báo cáo lỗ hổng vào ngày 22/11/2022.

Các lỗi tràn bộ đệm heap có thể bị tin tặc khai thác để khiến một chương trình gặp sự cố hoặc thực thi mã tùy ý, dẫn đến các hành vi không mong muốn.

Theo National Vulnerability Database của NIST, lỗ hổng này có thể cho phép "kẻ tấn công từ xa đã xâm phạm quá trình tạo giao diện (renderer process) có khả năng thoát tkhỏi sandbox thông qua một trang HTML độc hại".

Google cho biết đã nhận được báo cáo về việc CVE-2022-4135 đã bị khai thác trong thực tế.

Giống như các lỗ hổng đã bị khai thác khác, các chi tiết kỹ thuật cụ thể về lỗ hổng sẽ được giữ bí mật cho đến khi phần lớn người dùng được cập nhật bản vá để ngăn chặn việc lỗ hổng bị khai thác, lạm dụng nhiều hơn.

Với bản cập nhật mới nhất này, Google đã giải quyết tổng cộng 8 lỗ hổng zero-day trong Chrome kể từ đầu năm, các zero-day trước đó bao gồm:

- CVE-2022-0609 - Lỗ hổng Use-after-free trong Animation

- CVE-2022-1096, CVE-2022-1364 và CVE-2022-3723 - Các lỗ hổng nhầm lẫn kiểu (Type confusion) trong V8

- CVE-2022-2294 - Lỗ hổng Heap buffer overflow trong WebRTC

- CVE-2022-2856 - Thiếu kiểm tra, sàng lọc dữ liệu đầu vào trong Intents

- CVE-2022-3075 - Thiếu kiểm tra, sàng lọc dữ liệu trong Mojo

Người dùng nên nâng cấp lên phiên bản 107.0.5304.121 cho macOS và Linux và 107.0.5304.121/.122 cho Windows để giảm thiểu các mối đe dọa tiềm ẩn.

Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản vá cho lỗ hổng ngay khi chúng có sẵn.

Nguồn: thehackernews.com.