Google vá lỗ hổng zero-day Chrome thứ ba bị khai thác trong một tuần

“Google biết rằng hoạt động khai thác CVE-2024-4947 đang tồn tại trong thực tế”, công ty cho biết trong một tư vấn bảo mật được công bố vào thứ Tư.

Công ty đã khắc phục lỗ hổng này bằng cách phát hành phiên bản 125.0.6422.60/.61 cho Mac/Windows và 125.0.6422.60 (Linux). Các phiên bản mới sẽ được triển khai đến tất cả người dùng trên kênh Stable Desktop trong vài tuần tới.

Chrome tự động cập nhật khi có bản vá bảo mật. Tuy nhiên, bạn cũng có thể xác nhận rằng bạn có đang sử dụng phiên bản mới nhất hay không bằng cách đi tới menu Chrome > Trợ giúp > Giới thiệu về Google Chrome, để quá trình cập nhật hoàn tất rồi nhấp vào nút 'Khởi động lại' (relaunch) để cài đặt.

Lỗ hổng zero-day CVE-2024-4947 có độ nghiêm trọng mức cao, bắt nguồn từ vấn đề nhầm lẫn loại (type confusion) trong công cụ JavaScript Chrome V8, được phát hiện và báo cáo bởi nhà nghiên cứu Vasily Berdnikov và Boris Larin của Kaspersky.

Các lỗ hổng như vậy thường cho phép tác nhân đe dọa gây ra sự cố trình duyệt bằng cách đọc hoặc ghi bộ nhớ bên ngoài giới hạn của bộ đệm, chúng cũng có thể bị khai thác để thực thi mã tùy ý trên các thiết bị bị nhắm mục tiêu.

Google đã xác nhận CVE-2024-4947 bị lạm dụng trong các cuộc tấn công nhưng chưa tiết lộ thêm bất kỳ thông tin chi tiết liên quan nào.

Google cho biết: “Quyền truy cập vào chi tiết lỗ hổng và thông tin liên quan có thể bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản vá”.

“Chúng tôi cũng sẽ tiếp tục việc hạn chế nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác sử dụng nhưng vẫn chưa được vá”.

Zero-day thứ bảy bị khai thác trong năm 2024

Lỗ hổng mới nhất này của Chrome là zero-day thứ bảy được giải quyết trong trình duyệt web của Google kể từ đầu năm, các zero-day được vá trước đó bao gồm:

CVE-2024-0519: Một lỗi truy cập bộ nhớ ngoài giới hạn (out-of-bounds write) có độ nghiêm trọng mức cao trong công cụ JavaScript Chrome V8, cho phép kẻ tấn công khai thác để truy cập trái phép vào các thông tin nhạy cảm.

CVE-2024-2887: Lỗ hổng nhầm lẫn loại có độ nghiêm trọng mức cao trong WebAssembly (Wasm), có thể bị khai thác để thực thi mã từ xa.

CVE-2024-2886: Lỗ hổng use-after-free trong API WebCodecs, được các ứng dụng web sử dụng để mã hóa và giải mã dữ liệu âm thanh và video, có thể bị khai thác để thực hiện việc đọc và ghi tùy ý thông qua các trang HTML độc hại, dẫn đến thực thi mã từ xa.

CVE-2024-3159: Lỗ hổng có độ nghiêm trọng mức cao liên quan đến vấn đề out-of-bounds read trong công cụ JavaScript Chrome V8, cho phép kẻ tấn công khai thác để truy cập trái phép vào các thông tin nhạy cảm.

CVE-2024-4671: Lỗ hổng use-after-free có độ nghiêm trọng mức cao trong thành phần Visuals.

CVE-2024-4761: Sự cố out-of-bounds write trong công cụ JavaScript V8 của Chrome.