Cảnh báo Zero-Day: Google Chrome đang bị tấn công tích cực, khai thác lỗ hổng mới

Được định danh là CVE-2023-6345, lỗ hổng có mức độ nghiêm trọng cao, cho phép attacker có thể thực thi mã từ xa trên các thiết bị bị ảnh hưởng.

Lỗ hổng này xuất phát từ lỗi tràn số nguyên trong Skia, thư viện đồ họa 2D mã nguồn mở được Chrome sử dụng. Điều này có nghĩa là kẻ tấn công có thể tạo ra các trang web hoặc nội dung độc hại có thể lừa trình duyệt xử lý dữ liệu theo cách khiến trình duyệt bị lỗi hoặc thực thi mã tùy ý.

Benoît Sevens và Clément Lecigne thuộc Nhóm phân tích mối đe dọa (Threat Analysis Group – TAG) của Google đã được ghi nhận là người đã phát hiện và báo cáo lỗ hổng vào ngày 24 tháng 11 năm 2023.

Như thường lệ, gã khổng lồ tìm kiếm thừa nhận rằng “một cách khai thác CVE-2023-6345 đã tồn tại ngoài thực tế”, nhưng đã dừng việc chia sẻ thông tin bổ sung xung quanh bản chất của các cuộc tấn công và các tác nhân đe dọa có thể vũ khí hóa nó trong tấn công thực tế.

Điều đáng chú ý là Google đã phát hành các bản vá cho lỗ hổng tràn số nguyên tương tự trong cùng một thành phần ( CVE-2023-2136 ) vào tháng 4 năm 2023. Bản vá này cũng đang bị khai thác tích cực dưới dạng lỗ hổng zero-day, làm tăng khả năng CVE-2023-6345 có thể là một bản vá lỗi cho cái trước.

CVE-2023-2136 được cho là đã “cho phép kẻ tấn công từ xa đã xâm phạm quy trình kết xuất có khả năng thực hiện lối thoát hộp cát (sandbox escape) thông qua một trang HTML thủ công”.

Với bản cập nhật mới nhất, gã khổng lồ công nghệ đã giải quyết tổng cộng sáu zero-day trong Chrome kể từ đầu năm :

CVE-2023-2033 (CVSS score: 8.8) – Type confusion in V8
CVE-2023-2136 (CVSS score: 9.6) – Integer overflow in Skia
CVE-2023-3079 (CVSS score: 8.8) – Type confusion in V8
CVE-2023-4863 (CVSS score: 8.8) – Heap buffer overflow in WebP
CVE-2023-5217 (CVSS score: 8.8) – Heap buffer overflow in vp8 encoding in libvpx

Khuyến cáo :

Người dùng nên nâng cấp lên phiên bản Chrome 119.0.6045.199/.200 cho Windows và 119.0.6045.199 cho macOS và Linux để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chrome như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng có sẵn.

Tin tức báo chí liên quan

Tháng Năm 15, 2024 Tin tổng hợp

Lỗ hổng Zero-Day mới của Chrome CVE-2024-4761 đang bị khai thác tích cực

Google hôm thứ Hai đã đưa ra các bản sửa lỗi khẩn cấp để giải quyết lỗ hổng zero-day mới trong trình duyệt web Chrome đang bị khai thác tích cực trên thực tế. Google đã phát hành các bản vá khẩn cấp vào ngày thứ Hai để khắc phục một lỗ hổng zero-day mới…

Tháng Tư 24, 2024 Tin tổng hợp

Đăng ký kiểm thử website bằng PTaaS với ưu đãi duy nhất trong năm

Bạn đang lo lắng về an ninh mạng của website ? VSEC là nhà cung cấp dịch vụ Pentest as a Service (PTaaS) uy tín hàng đầu tại Việt Nam. Chúng tôi cung cấp dịch vụ đánh giá bảo mật toàn diện cho website, giúp bạn phát hiện và khắc phục các lỗ hổng bảo…

Tháng Tư 12, 2024 Tin tổng hợp

Vì sao hệ thống PVOIL có thể khôi phục nhanh sau sự cố tấn công ransomware?

Ngoài quy mô hệ thống không quá lớn, một yếu tố quan trọng để PVOIL có thể nhanh chóng khắc phục sự cố tấn công ransomware và khôi phục hoạt động chỉ sau vài ngày là nhờ có dữ liệu backup. Bài học lớn với nhiều doanh nghiệp, tổ chức tại Việt Nam Hệ thống…