🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Trường Đại học Kinh tế Kỹ thuật - Công nghiệp đã đăng ký tín nhiệm. 🔥                    🔥 Sở Tư pháp tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                    🔥 Trang Thông tin về Phổ biến, giáo dục pháp luật tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                   

Google vá một lỗ hổng zero-day khác của Chrome đang bị khai thác

20/04/2023

Google đã phát hành bản cập nhật bảo mật cho trình duyệt web Chrome để khắc phục lỗ hổng zero-day thứ hai đang bị khai thác trong các cuộc tấn công trong năm nay.

Bản tin bảo mật từ công ty cho biết: “Google đã biết về sự tồn tại của các hoạt động khai thác CVE-2023-2136 trong thực tế”.

Phiên bản mới được phát hành 112.0.5615.137 đã vá tổng cộng tám lỗ hổng. Google cho biết bản phát hành ổn định hiện chỉ khả dụng cho người dùng Windows và Mac, phiên bản Linux sẽ sớm được cung cấp.

Các bản cập nhật sẽ được tự động cài đặt vào lần khởi động tiếp theo của trình duyệt mà không cần người dùng can thiệp. Khởi chạy lại ứng dụng là việc bắt buộc để hoàn tất quá trình cập nhật.

Ngoài ra, bạn cũng có thể cập nhật Chrome lên phiên bản mới nhất theo cách thủ công bằng cách đi tới menu cài đặt Chrome (góc trên bên phải) và chọn Trợ giúp → Giới thiệu về Google Chrome.

CVE-2023-2136 là một lỗ hổng tràn số (integer overflow) có độ nghiêm trọng mức cao trong Skia, một thư viện đồ họa 2D đa nền tảng nguồn mở do Google sở hữu được viết bằng C++.

Skia cung cấp cho Chrome một bộ API để hiển thị đồ họa, văn bản, hình dạng, hình ảnh và hoạt ảnh (animations) và nó được coi là thành phần chính trong quy trình hiển thị của trình duyệt.

Lỗi integer overflow thường dẫn đến các hành vi không mong muốn của ứng dụng hoặc có liên quan đến bảo mật. Trong ngữ cảnh của Skia, nó có thể gây ra hiển thị không chính xác, hỏng bộ nhớ và thực thi mã tùy ý dẫn đến truy cập hệ thống trái phép.

Lỗ hổng đã được báo cáo bởi Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) vào đầu tháng này.

Theo thông lệ tiêu chuẩn khi vá các lỗ hổng bị khai thác trong thực tế trong Chrome, Google đã không tiết lộ chi tiết về cách CVE-2023-2136 được sử dụng trong các cuộc tấn công, để giảm thiểu khả năng suy đoán về phương pháp khai thác và các rủi ro liên quan.

Điều này cho phép người dùng cập nhật phần mềm của họ lên phiên bản an toàn hơn trước khi tiết lộ các chi tiết kỹ thuật có thể cho phép các tác nhân đe dọa lạm dụng để phát triển cách khai thác.

Bản tin bảo mật của Google cho biết "Chi tiết lỗ hổng và các thông tin liên quan sẽ bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản vá lỗi".

"Chúng tôi cũng sẽ giữ lại các chi tiết nếu lỗ hổng vẫn còn tồn tại trong thư viện của bên thứ ba mà các dự án khác sử dụng nhưng chưa được khắc phục".

Thứ Sáu tuần trước, Google đã phát hành một bản cập nhật Chrome khẩn cấp khác để vá CVE-2023-2033, lỗ hổng bị khai thác trong thực tế đầu tiên trong trình duyệt được phát hiện vào năm 2023.

Những lỗ hổng này thường bị các tác nhân đe dọa lạm dụng để nhắm đến các đối tượng nổi tiếng làm việc trong chính phủ, truyền thông hoặc các tổ chức quan trọng khác. Do đó, tất cả người dùng Chrome nên áp dụng bản cập nhật có sẵn càng sớm càng tốt.

Nguồn: bleepingcomputer.com.

scrolltop