Google phát hành bản vá khẩn cấp cho lỗ hổng zero-day mới đã bị khai thác trong Chrome. Vá ngay!

Thứ Sáu tuần trước, Google đã phát hành các bản vá khẩn cấp để giải quyết một lỗ hổng zero-day mới trong trình duyệt web Chrome đã và đang bị khai thác trong thực tế.

Lỗ hổng có định danh CVE-2022-3075, được xếp ở mức cao, liên quan đến vấn đề thiếu kiểm tra, sàng lọc dữ liệu đầu vào trong Mojo, một tập các thư viện runtime cung cấp cơ chế platform-agnostic cho giao tiếp giữa các tiến trình (IPC).

Một nhà nghiên cứu ẩn danh đã phát hiện và báo cáo lỗ hổng vào ngày 30/8/2022.

Google cho biết “đã nhận được các báo cáo về việc khai thác CVE-2022-3075 trong thực tế” nhưng không tiết lộ thêm chi tiết cụ thể về bản chất của các cuộc tấn công nhằm hạn chế các mối đe dọa khác lợi dụng lỗ hổng này.

Đây là lỗ hổng zero-day thứ sáu trong Chrome mà Google đã giải quyết trong năm nay, năm zero-day đã được khắc phục trước đó bao gồm:

- CVE-2022-0609 – Lỗ hổng use-after-free trong Animation

- CVE-2022-1096 và CVE-2022-1364: Lỗ hổng nhầm lẫn kiểu (type confusion) trong V8

- CVE-2022-2294 - Lỗ hổng tràn bộ đệm heap trong WebRTC

- CVE-2022-2856 - Lỗ hổng do thiếu kiểm tra, sàng lọc dữ liệu đầu vào không tin cậy trong Intents

Người dùng nên nâng cấp lên phiên bản 105.0.5195.102 cho Windows, macOS và Linux để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên thường xuyên kiểm tra và áp dụng các bản vá lỗi ngay khi chúng có sẵn.

Nguồn: thehackernews.com.