Google đã phát hành một bản cập nhật quan trọng cho trình duyệt Chrome của mình để khắc phục lỗ hổng bảo mật mức độ nghiêm trọng cao được gọi là “nhầm lẫn kiểu” (type confusion) trong công cụ V8 của trình duyệt. Lỗ hổng này, được gán mã CVE-2023-2033, ảnh hưởng đến các phiên bản của Google Chrome trước phiên bản mới nhất, phiên bản 112.0.5615.121.
Lỗ hổng được Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) mô tả như sau: “Nhầm lẫn kiểu trong V8 của Google Chrome trước phiên bản 112.0.5615.121 đã cho phép một kẻ tấn công từ xa tiềm năng khai thác lỗi hư hỏng bộ nhớ heap thông qua một trang HTML được tạo thành công.” NIST đã phân loại lỗ hổng này với mức độ nghiêm trọng “cao” trong đánh giá bảo mật của Chromium.
Người dùng Chrome nên nâng cấp lên phiên bản 112.0.5615.121 càng sớm càng tốt bằng cách vào menu Google Chrome -> Trợ giúp -> Thông tin về Google Chrome. Trình duyệt web sẽ bắt đầu cập nhật ngay lập tức.
Lỗ hổng này được báo cáo lần đầu tiên bởi Clément Lecigne, thành viên của Nhóm Phân tích Mối đe dọa của Google, vào ngày 11 tháng 4 năm 2023. Google đã xác nhận rằng một mã khai thác hoạt động cho CVE-2023-2033 đang tồn tại ngoài thực tế, điều này khiến việc áp dụng cập nhật một cách nhanh chóng trở nên rất quan trọng để đảm bảo an toàn trực tuyến của người dùng.
Mặc dù Google cho biết đã biết về các mã khai thác lỗ hổng không ngày của CVE-2023-2033 được sử dụng trong các cuộc tấn công, nhưng công ty chưa chia sẻ thêm thông tin về những sự cố này. Trong tuyên bố của mình, Google lưu ý: “Quyền truy cập vào chi tiết lỗi và liên kết có thể được giữ hạn chế cho đến khi đa số người dùng được cập nhật với một bản sửa lỗi.” Do đó, thông tin chi tiết xung quanh bản chất của các cuộc tấn công có thể được giữ kín trong thời gian này để đảm bảo an ninh của những người dùng chưa cập nhật trình duyệt của họ.
Reference(s)
Google Chrome Update Patches High-Severity Zero-Day Exploit: CVE-2023-2033
