Google hôm thứ Ba đã phát hành các bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome của mình, bao gồm một lỗ hổng zero-day được khai thác tích cực.
Vấn đề, được theo dõi là CVE-2024-0519, liên quan đến quyền truy cập bộ nhớ ngoài giới hạn trong công cụ JavaScript và WebAssembly V8, có thể được vũ khí hóa bởi các tác nhân đe dọa để gây ra sự cố.
"Bằng cách đọc bộ nhớ ngoài giới hạn, kẻ tấn công có thể nhận được các giá trị bí mật, chẳng hạn như địa chỉ bộ nhớ, có thể bỏ qua các cơ chế bảo vệ như ASLR để cải thiện độ tin cậy và khả năng khai thác một điểm yếu riêng biệt để đạt được thực thi mã thay vì chỉ từ chối dịch vụ", theo Liệt kê điểm yếu chung của MITRE (CWE).
Các chi tiết bổ sung về bản chất của các cuộc tấn công và các tác nhân đe dọa có thể đang khai thác chúng đã giữ lại trong nỗ lực ngăn chặn việc khai thác thêm. Vấn đề được báo cáo nặc danh vào ngày 11/1/2024.
"Truy cập bộ nhớ ngoài giới hạn trong V8 trong Google Chrome trước 120.0.6099.224 cho phép kẻ tấn công từ xa có khả năng khai thác tham nhũng đống thông qua một trang HTML được tạo ra", mô tả về lỗ hổng trên Cơ sở dữ liệu lỗ hổng quốc gia (NVD) của NIST.
Sự phát triển này đánh dấu zero-day được khai thác tích cực đầu tiên được Google vá lỗi trong Chrome vào năm 2024. Năm ngoái, gã khổng lồ công nghệ đã giải quyết tổng cộng 8 zero-day được khai thác tích cực như vậy trong trình duyệt.
Người dùng nên nâng cấp lên phiên bản Chrome 120.0.6099.224/225 cho Windows, 120.0.6099.234 cho macOS và 120.0.6099.224 cho Linux để giảm thiểu các mối đe dọa tiềm ẩn.
Người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng khả dụng.