Google đã cảnh báo về lỗ hổng zero-day có mức độ nghiêm trọng cao trong Chrome đang bị khai thác tích cực. Công ty đang kêu gọi người dùng Windows ngay lập tức cập nhật trình duyệt lên phiên bản 103.0.5060.114 để bảo vệ mình khỏi một cuộc tấn công tiềm ẩn.
Được theo dõi là CVE-2022-2294, đây là lỗi trong tràn bộ đệm dựa trên heap trong WebRTC (Truyền thông thời gian thực trên web). Theo Bleeping Computer, người đầu tiên đã báo cáo bản cập nhật này cho Chrome, khả năng khai thác lỗi này có thể từ lỗi chương trình đến thực thi mã tùy ý. Nếu tệp đính kèm đạt được khả năng thực thi mã tùy ý, chúng có thể vượt qua các giải pháp bảo mật và thực hiện một cách khai thác tàn khốc hơn.
Jan Vojtesek thuộc nhóm Avast Threat Intelligence đã báo cáo lỗi này cho Google vào ngày 1 tháng 7. Biết rằng lỗ hổng bảo mật đang tồn tại trong tự nhiên, công ty đã ngay lập tức tung ra một bản vá. Bản cập nhật sẽ đến tay tất cả người dùng trên toàn cầu trong vòng một hoặc hai tuần. Trong thời gian chờ đợi, Google đang giữ thông tin về lỗ hổng bảo mật và cách khai thác để hạn chế các cuộc tấn công tiềm ẩn.
Chrome thường tự động cài đặt bản cập nhật sau khi khởi chạy lại ứng dụng. Vì vậy, nếu bản cập nhật đã đến tay bạn, bạn có thể đang chạy phiên bản mới nhất. Để hoàn toàn chắc chắn, hãy nhấp vào menu ba chấm ở góc trên cùng bên phải của màn hình máy tính để bàn và chọn Cài đặt. Bây giờ hãy nhấp vào Giới thiệu về Chrome ở dưới cùng. Nếu bạn đang chạy phiên bản 103.0.5060.114, thì bạn vẫn an toàn. Nếu không, hãy kiểm tra bản cập nhật.
Theo Google, bản cập nhật mới nhất cho Chrome trong kênh Máy tính để bàn ổn định cũng bao gồm ba bản sửa lỗi bảo mật khác. Các nhà nghiên cứu bên ngoài đã đóng góp vào hai trong số đó-CVE-2022-2296 và CVE-2022-2295-được báo cáo lần lượt vào tháng 5 và tháng 6. Đây cũng là những lỗ hổng có mức độ nghiêm trọng cao nhưng không có bất kỳ cách khai thác nào được biết đến.
Đây là lỗ hổng zero-day thứ tư trong Google Chrome trong năm nay
If you aren’quen thuộc, lỗ hổng zero-day là một lỗ hổng phần mềm đã bị khai thác trong tự nhiên trước khi nhà cung cấp phần mềm biết về nó hoặc phát hành bản sửa lỗi. Đây là lỗ hổng thứ tư được phát hiện trong Chrome cho đến nay vào năm 2022. Google đã vá một lỗ hổng bảo mật vào tháng Hai, tháng Ba và tháng Tư. Xem xét các rủi ro bảo mật tiềm ẩn, bạn nên thường xuyên kiểm tra các bản cập nhật Chrome và cài đặt các phiên bản mới ngay lập tức.
Về chủ đề lỗ hổng zero-day, nhóm Project Zero của Google đã phát hiện 58 lỗ hổng như vậy trên các sản phẩm và dịch vụ khác nhau trong Năm 2021. Đó là con số hàng năm cao nhất và gấp hơn hai lần so với năm 2020 khi công ty phát hiện ra 25 lỗ hổng zero-day.
