Google cảnh báo về lỗ hổng bảo mật CVE-2024-7965 của Chrome đang bị khai thác tích cực

Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tung ra vào tuần trước cho trình duyệt Chrome của mình đã bị khai thác tích cực trong thực tế.

Được theo dõi là CVE-2024-7965, lỗ hổng này được mô tả là lỗi triển khai không phù hợp trong công cụ V8 JavaScript và WebAssembly.

"Việc triển khai không phù hợp trong V8 trong Google Chrome trước phiên bản 128.0.6613.84 đã cho phép kẻ tấn công từ xa có khả năng khai thác lỗi heap thông qua một trang HTML được tạo sẵn", theo mô tả về lỗi trong Cơ sở dữ liệu lỗ hổng quốc gia NIST (NVD).

Một nhà nghiên cứu bảo mật có bút danh trực tuyến là TheDog đã được ghi nhận là người phát hiện và báo cáo lỗ hổng vào ngày 30 tháng 7 năm 2024, giúp họ kiếm được khoản tiền thưởng lỗi là 11.000 đô la.

Các thông tin chi tiết bổ sung về bản chất của các cuộc tấn công khai thác lỗ hổng hoặc danh tính của những kẻ đe dọa có thể đang sử dụng lỗ hổng này vẫn chưa được công bố. Tuy nhiên, gã khổng lồ công nghệ thừa nhận rằng họ biết về sự tồn tại của một khai thác cho CVE-2024-7965.

Họ cũng cho biết, "trong quá trình khai thác tự nhiên của CVE-2024-7965 [...] đã được báo cáo sau bản phát hành này." Tuy nhiên, hiện tại vẫn chưa rõ liệu lỗ hổng này có được vũ khí hóa thành một ngày không trước khi tiết lộ vào tuần trước hay không.

Hacker News đã liên hệ với Google để biết thêm thông tin về lỗ hổng này và chúng tôi sẽ cập nhật câu chuyện nếu chúng tôi nhận được phản hồi.

Google đã giải quyết chín lỗi zero-day trong Chrome kể từ đầu năm 2024, bao gồm ba lỗi đã được trình diễn tại Pwn2Own 2024.

Người dùng được khuyến nghị nâng cấp lên Chrome phiên bản 128.0.6613.84/.85 cho Windows và macOS, và phiên bản 128.0.6613.84 cho Linux để giảm thiểu các mối đe dọa tiềm ẩn.

Hương – Theo TheHackerNews