Google đã triển khai các bản cập nhật bảo mật để khắc phục 7 vấn đề trong trình duyệt Chrome của mình, bao gồm một lỗ hổng zero-day đang bị tấn công trong môi trường thực tế.
Được theo dõi dưới mã CVE-2023-6345, lỗ hổng nghiêm trọng này đã được mô tả là một lỗi tràn số nguyên trong Skia, một thư viện đồ họa 2D mã nguồn mở.
Benoît Sevens và Clément Lecigne của Nhóm Phân tích Đe dọa của Google (TAG) được ghi nhận đã phát hiện và báo cáo lỗ hổng vào ngày 24 tháng 11 năm 2023.
Google thừa nhận rằng ” khai thác CVE-2023-6345 đã tồn tại ngoài thực tế,” nhưng không chia sẻ thêm thông tin về bản chất của các cuộc tấn công và các nhóm đe dọa có thể sử dụng nó trong các cuộc tấn công thực tế.
Google đã phát hành bản vá cho một lỗ hổng tràn số nguyên tương tự trong cùng một thành phần (CVE-2023-2136) vào tháng 4 năm 2023, cũng đã bị tấn công như một zero-day, nâng cao khả năng rằng CVE-2023-6345 có thể là một biện pháp bypass cho trước đó.
CVE-2023-2136 đã “cho phép kẻ tấn công từ xa xâm phạm quy trình vẽ để có khả năng thực hiện thoát khỏi sandboxthông qua một trang HTML được tạo ra một cách tinh vi.”
Với bản cập nhật mới nhất, Google Chrome đã giải quyết tổng cộng bảy lỗ hổng zero-day trong Chrome kể từ đầu năm:
- CVE-2023-2033 (điểm CVSS: 8.8) – Sự nhầm lẫn kiểu trong V8
- CVE-2023-2136 (điểm CVSS: 9.6) – Tràn số nguyên trong Skia
- CVE-2023-3079 (điểm CVSS: 8.8) – Sự nhầm lẫn kiểu trong V8
- CVE-2023-4762 (điểm CVSS: 8.8) – Sự nhầm lẫn kiểu trong V8
- CVE-2023-4863 (điểm CVSS: 8.8) – Tràn đệm bộ trong WebP
- CVE-2023-5217 (điểm CVSS: 8.8) – Tràn đệm bộ trong mã hóa vp8 trong libvpx
Người dùng được khuyến nghị nâng cấp lên phiên bản Chrome 119.0.6045.199/.200 cho Windows và 119.0.6045.199 cho macOS và Linux để giảm thiểu rủi ro tiềm ẩn. Người dùng của các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng được khuyến khích áp dụng các bản vá khi chúng trở nên khả dụng.