Google hôm thứ Hai đã đưa ra các bản sửa lỗi khẩn cấp để giải quyết lỗ hổng zero-day mới trong trình duyệt web Chrome đang bị khai thác tích cực trên thực tế.
Google đã phát hành các bản vá khẩn cấp vào ngày thứ Hai để khắc phục một lỗ hổng zero-day mới trong trình duyệt web Chrome đã được sử dụng tích cực trong môi trường thực.
Lỗ hổng có mức độ nghiêm trọng cao, được theo dõi với mã CVE-2024-4761, là một lỗi ghi ra ngoài phạm vi ảnh hưởng đến công cụ V8 JavaScript và WebAssembly. Nó được báo cáo ẩn danh vào ngày 9 tháng 5 năm 2024.
Các lỗi ghi ra ngoài phạm vi thường có thể được sử dụng bởi các nhà diễn xuất độc hại để làm hỏng dữ liệu, hoặc gây ra sự cố hoặc thực thi mã tùy ý trên các máy chủ đã bị xâm nhập.
“Google nhận thức được rằng một kỹ thuật khai thác cho CVE-2024-4761 đã tồn tại ở nơi đây,” gã khổng lồ công nghệ chia sẻ.
Thông tin bổ sung về tính chất của các cuộc tấn công đã được giữ lại để ngăn chặn những kẻ đe dọa sử dụng lỗ hổng này làm công cụ tấn công.
Thông báo này đến chỉ vài ngày sau khi công ty vá lỗi CVE-2024-4671, một lỗ hổng “use-after-free” trong thành phần Visuals cũng đã được khai thác trong các cuộc tấn công thực tế.
Với bản vá mới nhất, Google đã khắc phục tổng cộng sáu lỗ hổng zero-day kể từ đầu năm, trong đó có ba trong số đó đã được thể hiện tại cuộc thi hack Pwn2Own tại Vancouver vào tháng Ba.
CVE-2024-0519 – Truy cập bộ nhớ ghi ra ngoài phạm vi trong V8 (đang được khai thác tích cực)
CVE-2024-2886 – Sử dụng sau khi miễn phí trong WebCodecs
CVE-2024-2887 – Nhầm lẫn loại trong WebAssembly
CVE-2024-3159 – Truy cập bộ nhớ ghi ra ngoài phạm vi trong V8
CVE-2024-4671 – Sử dụng sau khi miễn phí trong Visuals (đang được khai thác tích cực)
Người dùng được khuyến nghị nâng cấp lên phiên bản Chrome 124.0.6367.207/.208 cho Windows và macOS, và phiên bản 124.0.6367.207 cho Linux để giảm thiểu các mối đe dọa tiềm ẩn.
Người dùng của các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng được khuyến khích áp dụng các bản vá khi chúng trở nên có sẵn.