Google đã công bố bản cập nhật Chrome 114 vá tổng cộng bốn lỗ hổng, bao gồm ba lỗi nghiêm trọng cao được báo cáo bởi các nhà nghiên cứu bên ngoài. Gã khổng lồ internet cho biết họ đã trả tổng cộng 35.000 đô la tiền thưởng lỗ hổng cho các nhà nghiên cứu báo cáo.
Số tiền thưởng cao nhất thuộc về nhà nghiên cứu Man Yue Mo của GitHub Security Lab, người đã phát hiện ra lỗ hổng trong công cụ JavaScript V8 của Chrome. Lỗ hổng theo dõi là CVE-2023-3420, đã được trao tiền thưởng lỗi trị giá 20.000 USD.
Tiếp theo là CVE-2023-3421, một lỗ hổng sử dụng use-after-free trong Media. Nhà nghiên cứu Piotr Bania của Cisco Talos đã kiếm được khoản tiền thưởng 10.000 đô la cho việc tìm ra lỗi bảo mật này.
Các lỗ hổng use-after-free có thể dẫn đến việc thực thi mã tùy ý, hỏng dữ liệu hoặc từ chối dịch vụ.
Trong Chrome, những lỗ hổng này có thể dẫn đến thoát sandbox, nếu kẻ tấn công nhắm vào tiến trình trình duyệt có đặc quyền hoặc lỗ hổng trong hệ điều hành cơ bản.
Lỗi thứ ba là CVE-2023-3422, một lỗ hổng use-after-free trong Guest View mà Google đã trả phần thưởng 5.000 USD cho một nhà nghiên cứu bảo mật được gọi là ‘asnine’.
Google không đề cập đến bất kỳ lỗ hổng nào trong số này bị khai thác trong các cuộc tấn công.
Phiên bản Chrome mới nhất hiện đang được triển khai dưới dạng phiên bản 114.0.5735.198 cho macOS và Linux và dưới dạng phiên bản 114.0.5735.198/199 cho Windows.
