Google hôm thứ Sáu đã phát hành các bản cập nhật ngoài băng tần để giải quyết lỗ hổng zero-day được khai thác tích cực trong trình duyệt web Chrome của mình, khiến nó trở thành lỗi đầu tiên như vậy được giải quyết kể từ đầu năm.
Được theo dõi là CVE-2023-2033, lỗ hổng nghiêm trọng cao đã được mô tả là sự cố nhầm lẫn kiểu trong công cụ JavaScript V8. Clement Lecigne thuộc Nhóm phân tích mối đe dọa (TAG) của Google đã được ghi nhận là người đã báo cáo vấn đề này vào ngày 11/2023/<>.
"Sự nhầm lẫn kiểu trong V8 trong Google Chrome trước 112.0.5615.121 cho phép kẻ tấn công từ xa có khả năng khai thác tham nhũng đống thông qua một trang HTML được tạo ra", theo Cơ sở dữ liệu lỗ hổng quốc gia (NVD) của NIST.
Gã khổng lồ công nghệ thừa nhận rằng "một khai thác cho CVE-2023-2033 tồn tại trong tự nhiên", nhưng không chia sẻ thêm các chi tiết kỹ thuật hoặc chỉ số thỏa hiệp (IoC) để ngăn chặn các tác nhân đe dọa khai thác thêm.
CVE-2023-2033 dường như cũng có những điểm tương đồng với CVE-2022-1096, CVE-2022-1364, CVE-2022-3723 và CVE-2022-4262 - bốn lỗi nhầm lẫn loại bị lạm dụng tích cực khác trong V8 đã được Google khắc phục vào năm 2022.
Google đã đóng cửa tổng cộng chín zero days trong Chrome vào năm ngoái. Sự phát triển này diễn ra vài ngày sau khi Citizen Lab và Microsoft tiết lộ việc khách hàng của một nhà cung cấp phần mềm gián điệp bóng tối có tên QuaDream khai thác lỗ hổng hiện đã được vá trong Apple iOS để nhắm mục tiêu vào các nhà báo, nhân vật đối lập chính trị và một nhân viên NGO vào năm 2021.
Người dùng nên nâng cấp lên phiên bản 112.0.5615.121 cho Windows, macOS và Linux để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng khả dụng.