Google phát hành bản cập nhật Chrome khẩn cấp để khắc phục lỗ hổng Zero-Day bị khai thác tích cực

Google vào thứ Sáu đã phát hành các bản cập nhật ngoài băng tần để giải quyết lỗ hổng zero-day được khai thác tích cực trong trình duyệt web Chrome của mình, khiến nó trở thành lỗi đầu tiên như vậy được xử lý kể từ đầu năm.

Được theo dõi là CVE-2023-2033, lỗ hổng nghiêm trọng cao đã được mô tả là sự cố nhầm lẫn loại trong công cụ JavaScript V8. Clement Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) đã được ghi nhận là người đã báo cáo sự cố vào ngày 11 tháng 4 năm 2023.

"Nhập nhầm trong V8 trong Google Chrome trước 112.0.5615.121 cho phép kẻ tấn công từ xa có khả năng khai thác tham nhũng heap thông qua trang HTML được tạo", theo Cơ sở dữ liệu dễ bị tổn thương quốc gia của NIST (NVD).

Gã khổng lồ công nghệ thừa nhận rằng “có một lỗ hổng khai thác CVE-2023-2033 tồn tại trong tự nhiên”, nhưng đã ngừng chia sẻ các chi tiết kỹ thuật cụ thể bổ sung hoặc các chỉ số thỏa hiệp (IoC) để ngăn chặn việc khai thác thêm bởi các tác nhân đe dọa.

CVE-2023-2033 dường như cũng có những điểm tương đồng với CVE-2022-1096, CVE-2022-1364, CVE-2022-3723 và CVE-2022-4262 – bốn lỗi nhầm lẫn loại bị lạm dụng tích cực khác trong V8 đã được Google khắc phục vào năm 2022.

Google đã đóng tổng cộng 9 lỗ hổng zero-day trong Chrome vào năm ngoái. Sự phát triển diễn ra vài ngày sau khi Citizen Lab và Microsoft tiết lộ việc khai thác một lỗ hổng hiện đã được vá trong Apple iOS bởi khách hàng của một nhà cung cấp phần mềm gián điệp mờ ám có tên QuaDream để nhắm mục tiêu vào các nhà báo, nhân vật đối lập chính trị và một nhân viên NGO vào năm 2021.

Nó cũng xuất hiện trong vòng một tuần kể từ khi Apple phát hành bản cập nhật để vá hai lỗ hổng zero-day được khai thác tích cực (CVE-2023-28205 và CVE-2023-28206) trong trình duyệt web iOS, iPadOS, macOS và Safari có thể dẫn đến thực thi mã tùy ý .

Người dùng nên nâng cấp lên phiên bản 112.0.5615.121 cho Windows, macOS và Linux để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng có sẵn.

Hương – Theo TheHackerNews