Gã khổng lồ tìm kiếm Google hôm thứ Sáu đã phát hành bản cập nhật bảo mật ngoài băng tần để khắc phục lỗ hổng zero-day mới được khai thác tích cực trong trình duyệt web Chrome của mình.
Lỗ hổng nghiêm trọng cao, được theo dõi là CVE-2022-4262, liên quan đến một lỗi nhầm lẫn loại trong công cụ JavaScript V8. Clement Lecigne thuộc Nhóm phân tích mối đe dọa (TAG) của Google đã được ghi nhận là người đã báo cáo vấn đề vào ngày 29 tháng 11 năm 2022.
Các lỗ hổng nhầm lẫn kiểu có thể được vũ khí hóa bởi các tác nhân đe dọa để thực hiện truy cập bộ nhớ ngoài giới hạn hoặc dẫn đến sự cố và thực thi mã tùy ý.
Theo Cơ sở dữ liệu lỗ hổng quốc gia của NIST, lỗ hổng này cho phép"kẻ tấn công từ xa có khả năng khai thác đống tham nhũng thông qua một trang HTML được tạo ra".
Google thừa nhận đã tích cực khai thác lỗ hổng bảo mật nhưng đã ngừng chia sẻ các chi tiết cụ thể bổ sung để ngăn chặn hành vi lạm dụng tiếp theo.
CVE-2022-4262 là lỗ hổng nhầm lẫn loại được khai thác tích cực thứ tư mà Google đã giải quyết kể từ đầu năm. Đây cũng là lỗ hổng zero-day thứ chín trong những kẻ tấn công Chrome đã khai thác trong tự nhiên vào năm 2022
- CVE-2022-0609- Sử dụng sau khi miễn phí trong Hoạt hình
- CVE-2022-1096- Loại nhầm lẫn trong V8
- CVE-2022-1364- Loại nhầm lẫn trong V8
- CVE-2022-2294- Tràn bộ đệm đống trong WebRTC
- CVE-2022-2856- Xác thực không đủ đầu vào không đáng tin cậy trong Ý định
- CVE-2022-3075- Xác thực dữ liệu không đủ trong Mojo
- CVE-2022-3723- Loại nhầm lẫn trong V8
- CVE-2022-4135- Tràn bộ đệm Heap trong GPU
Người dùng được khuyến nghị nâng cấp lên phiên bản 108.0.5359.94 cho macOS và Linux và 108.0.5359.94 / .95 cho Windows để giảm thiểu các mối đe dọa tiềm ẩn.
Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng có sẵn.