By Vừa qua, Google đã phát hành phiên bản mới cho trình duyệt Chrome để vá lỗ hổng zero-day đang bị khai thác rộng rãi. Đáng chú ý, tính từ đầu năm 2024, BleepingComputer cho biết, đây là lỗ hổng zero-day thứ năm được phát hiện trong trình duyệt Chrome.
Cụ thể, lỗ hổng mới được phát hiện trong trình duyệt Chrome có tên CVE-2024-4671, nằm trong thành phần Visuals của Chrome và thuộc loại “Use-After-Free” (UAF). Về cơ bản, UAF là một lỗi bảo mật xảy ra khi một chương trình cố gắng truy cập hoặc sử dụng một vùng bộ nhớ đã được giải phóng. Lỗi này có thể dẫn đến nhiều hậu quả nghiêm trọng như rò rỉ bộ nhớ, kẻ tấn công có thể thực thi mã tùy ý, v.v.
Theo nhật ký phát hành, Google cho biết lỗ hổng zero mới đã được một nhà nghiên cứu ẩn danh đã phát hiện và báo cáo cho họ xử lý. Hiện tại, Google đã phát hành bản cập nhật Chrome (phiên bản 124.0.6367.201/.202 cho Mac/Windows và 124.0.6367.201 cho Linux) để vá lỗ hổng này. Bản cập nhật này sẽ được tung ra trong những ngày hoặc tuần tới.
- Để kiểm tra phiên bản đang sử dụng, người dùng Chrome có thể truy cập vào Cài đặt > Giới thiệu về Chrome > trình duyệt sẽ tự động kiểm tra.
- Nếu có bản cập nhật mới > Chrome sẽ tự động tải và yêu cầu người dùng khởi chạy lại trình duyệt sau khi cài đặt hoàn tất.
Trước đó, Google cũng đã phải khẩn trương giải quyết 4 lỗ hổng khác có trong trình duyệt Chrome của họ. Dưới đây là các lỗ hổng zero-day của Chrome từ đầu năm 2024:
- CVE-2024-0519: Lỗ hổng này cho phép kẻ tấn công truy cập thông tin nhạy cảm của bạn bằng cách khai thác công cụ JavaScript của Chrome.
- CVE-2024-2887: Lỗ hổng này trong tiêu chuẩn WebAssembly có thể cho phép kẻ tấn công chạy mã độc hại trên máy tính của bạn.
- CVE-2024-2886: Lỗ hổng này trong API WebCodecs, có thể cho phép kẻ tấn công chạy mã độc hại trên máy tính của bạn.
- CVE-2024-3159: Lỗ hổng này trong công cụ JavaScript của Chrome, tương tự như CVE-2024-0519 và cho phép kẻ tấn công truy cập thông tin nhạy cảm của bạn.
