Cập nhật Chrome ngay nếu bạn không muốn bị tấn công bằng lỗ hổng Zero-Day đang được khai thác tích cực

Cập nhật Chrome ngay nếu bạn không muốn bị tấn công bằng lỗ hổng Zero-Day đang được khai thác tích cực

Google hôm thứ Tư đã tung ra các bản sửa lỗi để giải quyết lỗi zero-day mới được khai thác tích cực trong trình duyệt Chrome.

Được theo dõi là CVE-2023-5217, lỗ hổng có mức độ nghiêm trọng cao được mô tả là lỗi tràn bộ đệm dựa trên heap ở định dạng nén VP8 trong libvpx, thư viện codec video phần mềm miễn phí của Google và Alliance for Open Media (AOMedia).

Việc khai thác các lỗi tràn bộ đệm như vậy có thể dẫn đến sự cố chương trình hoặc việc thực thi mã tùy ý, ảnh hưởng đến tính khả dụng và tính toàn vẹn của mã.

Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) đã được ghi nhận là người đã phát hiện và báo cáo lỗ hổng vào ngày 25 tháng 9 năm 2023, đồng thời là nhà nghiên cứu Maddie Stone lưu ý trên X (trước đây là Twitter) rằng nó đã bị một nhà cung cấp phần mềm gián điệp thương mại lạm dụng để nhắm mục tiêu cao. - cá nhân có nguy cơ.

Gã khổng lồ công nghệ không tiết lộ thêm thông tin chi tiết nào ngoài việc thừa nhận rằng họ “biết rằng có một lỗ hổng CVE-2023-5217 đang tồn tại ngoài thực tế”.

Phát hiện mới nhất mang đến con số năm lỗ hổng zero-day trong Google Chrome mà các bản vá đã được phát hành trong năm nay -

CVE-2023-2033 (điểm CVSS: 8,8) - Nhầm lẫn về kiểu chữ trong V8

CVE-2023-2136 (điểm CVSS: 9,6) - Tràn số nguyên ở Skia

CVE-2023-3079 (điểm CVSS: 8,8) - Lỗi gõ trong V8

CVE-2023-4863 (điểm CVSS: 8,8) - Tràn bộ đệm heap trong WebP

Người ta cũng nghi ngờ rằng nhà sản xuất phần mềm gián điệp Cytrox của Israel có thể đã khai thác lỗ hổng Chrome được vá gần đây (CVE-2023-4762, điểm CVSS: 8.8) như một lỗ hổng zero-day để cung cấp Predator, mặc dù hiện có rất ít thông tin về lỗ hổng này. -các cuộc tấn công hoang dã.

Sự phát triển này xảy ra khi Google gán mã nhận dạng CVE mới, CVE-2023-5129, cho lỗ hổng nghiêm trọng trong thư viện hình ảnh libwebp – ban đầu được theo dõi là CVE-2023-4863 – lỗ hổng này đã bị khai thác tích cực ngoài tự nhiên, xét đến cuộc tấn công rộng rãi của nó bề mặt.

Người dùng nên nâng cấp lên phiên bản Chrome 117.0.5938.132 dành cho Windows, macOS và Linux để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chrome như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng có sẵn.

Hương – Theo TheHackerNews