Google phát hành bản cập nhật Chrome khẩn cấp để vá lỗ hổng zero-day thứ 6 trong năm nay

Google đã vá lỗ hổng zero-day thứ sáu của Chrome trong năm nay với bản cập nhật bảo mật khẩn cấp được phát hành vào hôm qua để đối phó với việc khai thác đang diễn ra trong thực tế.

Công ty đã xác nhận về sự tồn tại của một khai thác cho lỗ hổng, được định danh CVE-2023-6345, trong một thông báo bảo mật mới được công bố hôm qua.

Lỗ hổng này hiện đã được giải quyết trong kênh Stable Desktop, với các phiên bản đã được vá đang được triển khai cho người dùng Windows (119.0.6045.199/.200) và người dùng Mac và Linux (119.0.6045.199).

Mặc dù thông báo cho biết việc cập nhật bảo mật có thể mất vài ngày hoặc vài tuần để đến với tất cả người dùng, nhưng nó hiện đã sẵn và được cập nhật ngay khi người dùng kiểm tra thông tin Chrome.

Trình duyệt web sẽ tự động kiểm tra bản cập nhật mới và cài đặt chúng sau lần khởi động tiếp theo cho người dùng không muốn thực hiện thủ công.

Lỗ hổng zero-day này có độ nghiêm trọng mức cao và bắt nguồn từ một lỗi tràn số nguyên (integer overflow) trong thư viện đồ họa 2D mã nguồn mở Skia, dẫn đến những rủi ro từ việc gây crash đến việc thực thi mã tùy ý (Skia cũng được sử dụng trong các sản phẩm khác như ChromeOS, Android và Flutter).

Lỗ hổng này đã được báo cáo vào ngày 24 tháng 11, bởi hai nhà nghiên cứu Benoît Sevens và Clément Lecigne thuộc Nhóm Phân tích Mối đe dọa của Google (TAG).

Công ty cho biết thông tin chi tiết về zero-day sẽ không được tiết lộ cho đến khi phần lớn người dùng đã cập nhật trình duyệt của họ, và giới hạn sẽ được kéo dài nếu lỗ hổng cũng ảnh hưởng đến phần mềm của bên thứ ba chưa được vá.

Điều này nhằm giảm khả năng kẻ tấn công phát triển các khai thác lạm dụng CVE-2023-6345, giảm thiểu rủi ro từ thông tin kỹ thuật được công bố liên quan đến lỗ hổng.

Trong tháng 9, Google đã vá hai lỗ hổng zero-day khác ( CVE-2023-5217 và CVE-2023-4863) đã bị khai thác trong các cuộc tấn công trong thực tế.

Nguồn: bleepingcomputer.com