Google đã phát hành bản cập nhật bảo mật cho trình duyệt web Chrome để khắc phục lỗ hổng zero-day thứ hai đang bị khai thác trong các cuộc tấn công trong năm nay.
Bản tin bảo mật từ công ty cho biết: “Google đã biết về sự tồn tại của các hoạt động khai thác CVE-2023-2136 trong thực tế”.
Phiên bản mới được phát hành 112.0.5615.137 đã vá tổng cộng tám lỗ hổng. Google cho biết bản phát hành ổn định hiện chỉ khả dụng cho người dùng Windows và Mac, phiên bản Linux sẽ sớm được cung cấp.
Các bản cập nhật sẽ được tự động cài đặt vào lần khởi động tiếp theo của trình duyệt mà không cần người dùng can thiệp. Khởi chạy lại ứng dụng là việc bắt buộc để hoàn tất quá trình cập nhật.
Ngoài ra, bạn cũng có thể cập nhật Chrome lên phiên bản mới nhất theo cách thủ công bằng cách đi tới menu cài đặt Chrome (góc trên bên phải) và chọn Trợ giúp → Giới thiệu về Google Chrome.
CVE-2023-2136 là một lỗ hổng tràn số (integer overflow) có độ nghiêm trọng mức cao trong Skia, một thư viện đồ họa 2D đa nền tảng nguồn mở do Google sở hữu được viết bằng C++.
Skia cung cấp cho Chrome một bộ API để hiển thị đồ họa, văn bản, hình dạng, hình ảnh và hoạt ảnh (animations) và nó được coi là thành phần chính trong quy trình hiển thị của trình duyệt.
Lỗi integer overflow thường dẫn đến các hành vi không mong muốn của ứng dụng hoặc có liên quan đến bảo mật. Trong ngữ cảnh của Skia, nó có thể gây ra hiển thị không chính xác, hỏng bộ nhớ và thực thi mã tùy ý dẫn đến truy cập hệ thống trái phép.
Lỗ hổng đã được báo cáo bởi Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) vào đầu tháng này.
Theo thông lệ tiêu chuẩn khi vá các lỗ hổng bị khai thác trong thực tế trong Chrome, Google đã không tiết lộ chi tiết về cách CVE-2023-2136 được sử dụng trong các cuộc tấn công, để giảm thiểu khả năng suy đoán về phương pháp khai thác và các rủi ro liên quan.
Điều này cho phép người dùng cập nhật phần mềm của họ lên phiên bản an toàn hơn trước khi tiết lộ các chi tiết kỹ thuật có thể cho phép các tác nhân đe dọa lạm dụng để phát triển cách khai thác.
Bản tin bảo mật của Google cho biết "Chi tiết lỗ hổng và các thông tin liên quan sẽ bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản vá lỗi".
"Chúng tôi cũng sẽ giữ lại các chi tiết nếu lỗ hổng vẫn còn tồn tại trong thư viện của bên thứ ba mà các dự án khác sử dụng nhưng chưa được khắc phục".
Thứ Sáu tuần trước, Google đã phát hành một bản cập nhật Chrome khẩn cấp khác để vá CVE-2023-2033, lỗ hổng bị khai thác trong thực tế đầu tiên trong trình duyệt được phát hiện vào năm 2023.
Những lỗ hổng này thường bị các tác nhân đe dọa lạm dụng để nhắm đến các đối tượng nổi tiếng làm việc trong chính phủ, truyền thông hoặc các tổ chức quan trọng khác. Do đó, tất cả người dùng Chrome nên áp dụng bản cập nhật có sẵn càng sớm càng tốt.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Tháng 3 năm 2023 là tháng xảy ra nhiều vụ tấn công nhất được các nhà phân tích an ninh mạng ghi nhận trong những năm gần đây, với 459 cuộc tấn công, tăng 91% so với tháng trước và 62% so với tháng 3 năm 2022
Tín nhiệm mạng | Các tác nhân đe dọa đằng sau hoạt động của ransomware LockBit đã phát triển các công cụ mới có thể mã hóa các tệp trên các thiết bị chạy hệ điều hành macOS của Apple.
Tín nhiệm mạng | Phần mềm độc hại đánh cắp thông tin xác thực mới có tên Zaraza bot đang được rao bán trên Telegram
Tín nhiệm mạng | Google đã phát hành các bản cập nhật khẩn cấp để giải quyết một lỗ hổng zero-day đang bị khai thác trong thực tế trong trình duyệt web Chrome.
Tín nhiệm mạng | Microsoft đang cảnh báo về một chiến dịch lừa đảo nhắm vào các công ty kế toán và người khai thuế bằng mã độc truy cập từ xa cho phép truy cập trái phép vào mạng công ty.
Tín nhiệm mạng | OpenAI đã công bố ra mắt chương trình bug bounty mới để cho phép các nhà nghiên cứu bảo mật đã đăng ký tìm kiếm các lỗ hổng trong các sản phẩm của họ và được trả tiền thưởng để báo cáo chúng thông qua nền tảng bảo mật Bugcrowd.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
