Google đã vá lỗ hổng an toàn thông tin ZeroDay thứ năm trên Chrome trong năm nay

- Google đã phát hành bản vá bảo mật cho trình duyệt Chrome để vá lỗ hổng an toàn thông tin zero-day thứ năm đã bị khai thác trong môi trường thực tế kể từ đầu năm nay.

Lỗ hổng này có mã CVE-2024-4671, là một lỗi "Use After Free" (tạm dịch: "Sử dụng sau khi giải phóng bộ nhớ"). Đây là một loại lỗi liên quan đến bộ nhớ, có thể khiến bộ nhớ bị hỏng hoặc cho phép sửa đổi dữ liệu trong bộ nhớ, dẫn đến việc người dùng bị tước bỏ hoàn toàn các đặc quyền trên hệ thống hoặc phần mềm bị ảnh hưởng. Lỗ hổng tồn tại trên thành phần Visuals, chịu trách nhiệm xử lý việc kết xuất và hiển thị nội dung trên trình duyệt.

Lỗ hổng này đã bị khai thác trong môi trường thực tế và hiện đã được khắc phục trong phiên bản 124.0.6367.201/.202 cho Mac/Windows và phiên bản 124.0.6367.201 cho Linux. Đối với người dùng thuộc kênh “Extended Stable”, lỗ hổng sẽ được vá trong phiên bản 124.0.6367.201 cho Mac và Windows.

Chrome thường tự động cập nhật khi có bản vá bảo mật mới nhưng người dùng có thể kiểm tra phiên bản mình đang sử dụng bằng cách vào Cài đặt > Giới thiệu về Chrome (Settings > About Chrome). Đây là lỗ hổng thứ năm được phát hiện trên trình duyệt Google Chrome kể từ đầu năm nay, với các lỗ hổng khác được phát hiện trong cuộc thi Pwn2Own diễn ra vào tháng 3/2024 tại Vancouver.

Danh sách các lỗ hổng zero-day đã được phát hiện cụ thể là như sau:

• CVE-2024-0519: Lỗ hổng truy cập bộ nhớ ngoài giới hạn trong engine V8 JavaScript của Chrome, cho phép đối tượng tấn công từ xa khai thác lỗi heap thông qua trang HTML độc hại, dẫn đến việc truy cập trái phép các thông tin nhạy cảm.

• CVE-2024-2887: Lỗ hổng nhầm lẫn phân loại tồn tại trên tiêu chuẩn WebAssembly (Wasm), cho phép đối tượng tấn công thực thi mã từ xa (RCE) thông qua trang HTML độc hại.

• CVE-2024-2886: Lỗ hổng Use After Free tồn tại trong WebCodecs API, cho phép mã hóa và giải mã âm thanh và video. Đối tượng tấn công có thể thực thi mã từ xa khi khai thác lỗ hổng thông qua trang HTML độc hại.

• CVE-2024-3159: Lỗ hổng cho phép đọc ngoài phạm vi, tồn tại trong engine V8 JavaScript của Chrome. Đối tượng tấn công có thể truy cập các dữ liệu nằm ngoài phân vùng bộ nhớ đệm, từ đó dẫn đến lỗi heap cho phép đối tượng tấn công trích xuất thông tin nhạy cảm từ hệ thống.