Google đã tung ra các bản cập nhật bảo mật cho trình duyệt web Chrome để giải quyết lỗ hổng zero-day có mức độ nghiêm trọng cao đã bị khai thác diện rộng.
Lỗ hổng bảo mật có mã định danh CVE-2023-7024 được mô tả là lỗi tràn bộ đệm dựa trên heap trong khung WebRTC có thể bị khai thác để dẫn đến sự cố chương trình hoặc thực thi mã tùy ý.
Clément Lecigne và Vlad Stolyarov thuộc Nhóm phân tích mối đe dọa (TAG) của Google được ghi nhận là người đã phát hiện và báo cáo lỗ hổng vào ngày 19 tháng 12 năm 2023.
Không có thông tin chi tiết nào khác về lỗi bảo mật được đưa ra để ngăn chặn hành vi lạm dụng tiếp theo, trong đó Google thừa nhận rằng “một cách khai thác CVE-2023-7024 đã tồn tại trên thực tế”.
Vì WebRTC là một dự án nguồn mở và nó cũng được Mozilla Firefox và Apple Safari hỗ trợ nên hiện tại vẫn chưa rõ liệu lỗ hổng này có bất kỳ tác động nào ngoài các trình duyệt dựa trên Chrome và Chrome hay không.
Sự phát triển này đánh dấu việc giải quyết lỗ hổng zero-day thứ tám được khai thác tích cực trong Chrome kể từ đầu năm.
CVE-2023-2033 (điểm CVSS: 8,8) – Nhầm lẫn về kiểu chữ trong V8
CVE-2023-2136 (điểm CVSS: 9,6) – Tràn số nguyên ở Skia
CVE-2023-3079 (điểm CVSS: 8,8) – Lỗi gõ trong V8
CVE-2023-4762 (điểm CVSS: 8,8) – Lỗi gõ trong V8
CVE-2023-4863 (điểm CVSS: 8,8) – Tràn bộ đệm heap trong WebP
CVE-2023-5217 (điểm CVSS: 8,8) – Tràn bộ đệm heap trong mã hóa vp8 trong libvpx
CVE-2023-6345 (điểm CVSS: 9,6) – Tràn số nguyên ở Skia
Theo dữ liệu do Qualys tổng hợp, cho đến nay, tổng cộng 26.447 lỗ hổng đã được tiết lộ, vượt qua năm trước hơn 1.500 CVE, với 115 lỗ hổng bị các tác nhân đe dọa và nhóm ransomware khai thác.
Thực thi mã từ xa, bỏ qua tính năng bảo mật, thao tác bộ đệm, leo thang đặc quyền cũng như các lỗi phân tích và xác thực đầu vào nổi lên là các loại lỗ hổng bảo mật hàng đầu.
Người dùng nên nâng cấp lên phiên bản Chrome 120.0.6099.129/130 cho Windows và 120.0.6099.129 cho macOS và Linux để giảm thiểu các mối đe dọa tiềm ẩn.
Người dùng các trình duyệt dựa trên Chrome như Microsoft Edge, Brave, Opera và Vivaldi cũng nên áp dụng các bản sửa lỗi khi chúng có sẵn.
Nguồn: The Hacker News