“Google biết rằng việc khai thác CVE-2024-4947 vẫn tồn tại một cách tự nhiên”, công ty cho biết trong một tư vấn bảo mật được công bố hôm thứ Tư.
Công ty đã khắc phục lỗ hổng này bằng cách phát hành phiên bản 125.0.6422.60/.61 cho Mac/Windows và 125.0.6422.60 (Linux). Các phiên bản mới sẽ được tung ra cho tất cả người dùng trên kênh Stable Desktop trong vài tuần tới.
Chrome tự động cập nhật khi có bản vá bảo mật. Tuy nhiên, bạn cũng có thể xác nhận rằng bạn đang sử dụng phiên bản mới nhất bằng cách đi tới menu Chrome > Trợ giúp > Giới thiệu về Google Chrome, để quá trình cập nhật hoàn tất rồi nhấp vào nút 'Bắt đầu'. Khởi động lại để cài đặt.
Lỗ hổng zero-day có mức độ nghiêm trọng cao CVE-2024-4947 bắt nguồn từ sự cố nhầm lẫn loại trong công cụ JavaScript Chrome V8, được phát hiện và báo cáo bởi các nhà nghiên cứu Vasily Berdnikov và Boris Kaspersky's Larin.
Những lỗ hổng như vậy thường cho phép kẻ đe dọa gây ra sự cố trình duyệt bằng cách đọc hoặc ghi bộ nhớ bên ngoài giới hạn của bộ đệm. Chúng cũng có thể bị khai thác để thực thi mã tùy ý trên các thiết bị được nhắm mục tiêu.
Google đã xác nhận rằng CVE-2024-4947 đang bị lạm dụng trong các cuộc tấn công nhưng chưa tiết lộ thêm bất kỳ chi tiết liên quan nào.
Google cho biết: “Quyền truy cập vào chi tiết lỗ hổng và thông tin liên quan có thể bị hạn chế cho đến khi phần lớn người dùng được vá”.
“Chúng tôi cũng sẽ tiếp tục hạn chế nếu có lỗi trong thư viện của bên thứ ba mà các dự án khác sử dụng nhưng chưa được vá.”
Khai thác zero-day lần thứ bảy vào năm 2024
Lỗ hổng mới nhất này của Chrome là lỗ hổng zero-day thứ bảy được giải quyết trong trình duyệt web của Google kể từ đầu năm; các lỗi 0 ngày trước đó đã được vá bao gồm:
CVE-2024-0519: Lỗi ghi ngoài giới hạn có mức độ nghiêm trọng cao trong công cụ JavaScript Chrome V8, cho phép kẻ tấn công khai thác quyền truy cập trái phép vào thông tin nhạy cảm.
CVE-2024-2887: Lỗ hổng nhầm lẫn loại có mức độ nghiêm trọng cao trong WebAssugging (Wasm), có thể bị khai thác để thực thi mã từ xa.
CVE-2024-2886: Lỗ hổng use-after-free trong API WebCodecs, được các ứng dụng web sử dụng để mã hóa và giải mã dữ liệu âm thanh và video, có thể bị khai thác để thực hiện đọc và ghi tùy ý. có ý định thông qua các trang HTML độc hại, dẫn đến việc thực thi mã từ xa.
CVE-2024-3159: Lỗ hổng có mức độ nghiêm trọng cao liên quan đến vấn đề đọc ngoài giới hạn trong công cụ JavaScript Chrome V8, cho phép kẻ tấn công khai thác nó để truy cập trái phép vào thông tin nhạy cảm.
CVE-2024-4671: Lỗ hổng use-after-free có mức độ nghiêm trọng cao trong thành phần Hình ảnh.
CVE-2024-4761: Sự cố ghi ngoài giới hạn trong công cụ JavaScript Chrome V8.
Link nguồn: https://cafef.vn/google-va-lo-hong-zero-day-chrome-thu-ba-bi-khai-thac-trong-mot-tuan-188240517074138229.chn