Google vá lỗ hổng zero-day thứ chín của Chrome bị khai thác trong năm nay

Hôm qua, Google đã phát hành bản cập nhật bảo mật khẩn cấp mới cho Chrome để vá một lỗ hổng zero-day đã bị khai thác trong các cuộc tấn công trong thực tế.

Lỗ hổng zero-day nghiêm trọng này gây ra bởi vấn đề nhầm lẫn loại (type confusion) trong công cụ JavaScript V8 của Chrome. Các nhà nghiên cứu bảo mật tại Trung tâm tình báo về mối đe dọa (MSTIC) và Trung tâm phản hồi bảo mật (MSRC) của Microsoft đã báo cáo vào thứ Hai.

Những lỗ hổng như vậy thường có thể cho phép kẻ tấn công gây ra sự cố (crash) cho trình duyệt, nhưng chúng cũng có thể bị khai thác chúng để thực thi mã tùy ý trên các thiết bị mục tiêu đang chạy trình duyệt chưa vá.

Google đã giải quyết zero-day này bằng cách phát hành phiên bản 128.0.6613.84/.85 cho Windows/macOS và 128.0.6613.84 cho Linux, các phiên bản sẽ được triển khai tới tất cả người dùng trong kênh Stable Desktop trong những tuần tới.

Trong khi Chrome tự động cập nhật khi có bản vá bảo mật, người dùng cũng có thể đẩy nhanh quá trình bằng cách vào menu Chrome > Trợ giúp (Help) > Giới thiệu về Google Chrome (About Google Chrome), chờ quá trình cập nhật hoàn tất và nhấp vào nút 'Khởi chạy lại' (Relaunch) để cài đặt.

​Google xác nhận CVE-2024-7971 đã bị lạm dụng trong các cuộc tấn công, tuy nhiên, công ty vẫn chưa tiết lộ thêm thông tin liên quan đến việc khai thác trong thực tế.

Google cho biết: "Thông tin chi tiết và liên quan về lỗ hổng có thể bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản sửa lỗi".

"Các thông tin này cũng sẽ tiếp tục bị hạn chế nếu lỗ hổng tồn tại trong thư viện của bên thứ ba mà các dự án khác sử dụng nhưng vẫn chưa khắc phục được".

CVE-2024-7971 là lỗi zero-day thứ chín trên Chrome được Google vá trong năm nay, các zero-day đã được khắc phục trước đó trong năm nay bao gồm:

- CVE-2024-0519: Một lỗi truy cập bộ nhớ ngoài giới hạn (out-of-bounds write) có độ nghiêm trọng mức cao trong công cụ JavaScript Chrome V8, cho phép kẻ tấn công khai thác để truy cập trái phép vào các thông tin nhạy cảm.

- CVE-2024-2887: Lỗ hổng nhầm lẫn loại có độ nghiêm trọng mức cao trong WebAssembly (Wasm), có thể bị khai thác để thực thi mã từ xa.

- CVE-2024-2886: Lỗ hổng use-after-free trong API WebCodecs, được các ứng dụng web sử dụng để mã hóa và giải mã dữ liệu âm thanh và video, có thể bị khai thác để thực hiện việc đọc và ghi tùy ý thông qua các trang HTML độc hại, dẫn đến thực thi mã từ xa.

- CVE-2024-3159: Lỗ hổng có độ nghiêm trọng mức cao liên quan đến vấn đề out-of-bounds read trong công cụ JavaScript Chrome V8, cho phép kẻ tấn công khai thác để truy cập trái phép vào các thông tin nhạy cảm.

- CVE-2024-4671: Lỗ hổng use-after-free có độ nghiêm trọng mức cao trong thành phần Visuals.

- CVE-2024-4761: Sự cố out-of-bounds write trong công cụ JavaScript V8 của Chrome.

- CVE-2024-4947 : Lỗ hổng nhầm lẫn loại trong công cụ JavaScript Chrome V8, cho phép thực thi mã tùy ý trên thiết bị mục tiêu.

- CVE-2024-5274 : Một lỗi nhầm lẫn loại trong công cụ JavaScript V8 của Chrome có thể dẫn đến sự cố, gây hỏng dữ liệu hoặc thực thi mã tùy ý.

Nguồn: bleepingcomputer.com.