Google Chrome phát hành bản vá lỗ hổng zero-day bị khai thác rộng rãi
Lỗ hổng zero-day được nhắc đến là CVE-2024-4671, có mức độ nghiêm trọng cao là lỗi use-after-free trong Visuals. Lỗ hổng này được báo cáo bởi một nhà nghiên cứu ẩn danh vào ngày 07/5/2024.
Lỗi use-after-free phát sinh khi một chương trình tham chiếu đến một vị trí bộ nhớ sau khi nó bị hủy cấp phát, có thể dẫn đến nhiều hậu quả nghiêm trọng như thực thi mã tùy ý.
Google cho biết lỗ hổng CVE-2024-4671 hiện đang bị khai thác và đưa ra cảnh báo trong một lời khuyên ngắn gọn nhưng không tiết lộ thêm chi tiết cụ thể về cách lỗ hổng được khai thác trong các cuộc tấn công thực tế hoặc danh tính của các tác nhân đe dọa đằng sau.
Trong các động thái mới nhất, Google đã giải quyết 2 lỗ hổng zero-day bị khai thác trong Chrome kể từ đầu năm. Đầu tháng 01/2024, Google đã vá một lỗi liên quan đến việc truy cập bộ nhớ ngoài giới hạn trong công cụ V8 JavaScript và WebAssembly (CVE-2024-0519, điểm CVSS: 8,8), có thể dẫn đến sự cố nghiêm trọng.
Tiếp đó, Google cũng giải quyết ba lỗi zero-day khác được tiết lộ trong cuộc thi hack Pwn2Own ở Vancouver vào tháng 3 bao gồm: CVE-2024-2886, CVE-2024-2887, CVE-2024-3159 .
Google đưa ra lời khuyên người dùng nên nâng cấp lên phiên bản Chrome 124.0.6367.201/.202 dành cho Windows và MacOS cũng như phiên bản 124.0.6367.201 dành cho Linux để giảm thiểu các mối đe dọa tiềm ẩn. Người dùng các trình duyệt dựa trên Chrome như Microsoft Edge, Brave, Opera và Vivaldi cũng nên cập nhật các bản sửa lỗi khi chúng có sẵn.
Nguyễn Liên
(thehackernews)