Google vừa tung ra bản cập nhật lớn cho trình duyệt Chrome, vá ba lỗ hổng bảo mật, bao gồm hai lỗi an toàn bộ nhớ có mức độ nghiêm trọng cao được báo cáo bởi các nhà nghiên cứu bên ngoài.

Lỗ hổng nổi bật nhất, CVE-2024-12381, là một lỗi type confusion trong V8 JavaScript engine. Lỗ hổng này đã mang về khoản thưởng $55,000 cho nhà nghiên cứu phát hiện ra nó. 

Google cho biết lỗ hổng có khả năng bị khai thác để thực thi mã từ xa (RCE), qua đó kẻ tấn công có thể truy cập trái phép hệ thống hoặc đánh cắp thông tin nhạy cảm của người dùng.

Lỗi type confusion thường xuất hiện trong các ngôn ngữ lập trình thiếu cơ chế an toàn bộ nhớ như C và C++, khi tài nguyên được truy cập bằng kiểu dữ liệu không tương thích, dẫn đến các lỗi logic nghiêm trọng.

Bên cạnh đó, Google cũng đã vá lỗ hổng CVE-2024-12382, thuộc loại use-after-free, trong thành phần Translate của Chrome. Hiện tại, Google chưa công bố mức thưởng cho lỗi này.

Các bản vá đã được phát hành dưới dạng phiên bản 131.0.6778.139/.140 cho Windows và macOS, và 131.0.6778.139 cho Linux. Đồng thời, Chrome’s Extended Stable Channel cũng được cập nhật lên 130.0.6723.160.

Google chưa ghi nhận bất kỳ trường hợp nào khai thác các lỗ hổng này ngoài thực tế, nhưng người dùng được khuyến nghị cập nhật trình duyệt ngay để bảo vệ hệ thống khỏi nguy cơ tiềm ẩn.

Nguồn: Securityweeks