Google phát hành bản vá khẩn cấp cho lỗ hổng 0-day đã bị khai thác trong Chrome

Thứ Sáu vừa qua, Google đã phát hành bản cập nhật bảo mật khẩn cấp để khắc phục một lỗ hổng zero-day trong trình duyệt Chrome được cho là đang bị khai thác trong thực tế.

Có định danh là CVE-2022-1096, do một nhà nghiên cứu ẩn danh phát hiện và báo cáo vào ngày 23/03/2022, lỗ hổng liên quan đến vấn đề nhầm lẫn kiểu (type confusion) trong công cụ JavaScript V8.

Lỗi nhầm lẫn kiểu, phát sinh khi một tài nguyên (ví dụ: một biến hoặc một đối tượng) được truy cập bằng cách sử dụng kiểu không tương thích với kiểu được khởi tạo ban đầu, có thể gây ra những hậu quả nghiêm trọng trong các ngôn ngữ thiếu tính an toàn về bộ nhớ (memory safe) như C và C++.

MITRE's Common Weakness Enumeration (CWE) cho biết "khi bộ nhớ đệm (memory buffer) được truy cập bằng cách sử dụng sai kiểu, nó có thể đọc hoặc ghi bộ nhớ ra khỏi giới hạn của bộ đệm. Nếu bộ đệm được cấp phát ít hơn kiểu đang truy cập có thể dẫn đến sự cố gây mất dữ liệu và/hoặc gây ra thực thi mã”.

Google cho biết "CVE-2022-1096 đang bị khai thác trong thực tế” và không tiết lộ thêm các chi tiết bổ sung liên quan đến lỗ hổng để hạn chế các hành vi khai thác khác cho đến khi phần lớn người dùng đã cập nhật bản vá.

CVE-2022-1096 là lỗ hổng zero-day thứ hai trong Chrome được Google giải quyết kể từ đầu năm nay, sau CVE-2022-0609-lỗ hổng use-after-free trong thành phần Animation đã được vá vào ngày 14 tháng 2.

Trong tuần trước, Nhóm phân tích mối đe dọa của Google (TAG) đã tiết lộ chi tiết về một chiến dịch được thực hiện bởi các nhóm tin tặc Triều Tiên nhằm lạm dụng CVE-2022-0609 để tấn công các tổ chức có trụ sở tại Mỹ trong các lĩnh vực truyền thông, CNTT, tiền điện tử và fintech.

Google khuyến nghị người dùng Chrome cập nhật ngay lên phiên bản mới nhất 99.0.4844.84 dành cho Windows, Mac và Linux để giảm thiểu mọi rủi ro tiềm ẩn.; người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Opera và Vivaldi cũng nên áp dụng các bản vá lỗi ngay khi chúng có sẵn.

Nguồn: thehackernews.com.