Google đã phát hành bản cập nhật bảo mật Chrome khẩn cấp để giải quyết lỗ hổng zero-day đầu tiên bị khai thác trong các cuộc tấn công kể từ đầu năm.
Phiên bản mới đang được tung ra cho người dùng trong kênh Stable Desktop và phiên bản này sẽ tiếp cận toàn bộ cơ sở người dùng trong những ngày hoặc tuần tới.
Người dùng Chrome nên nâng cấp lên phiên bản 112.0.5615.121 càng sớm càng tốt để giải quyết lỗ hổng CVE-2023-2033 trên các hệ thống Windows, Mac và Linux.
Bản cập nhật này có ngay khi BleepingComputer kiểm tra các bản cập nhật mới từ menu Chrome > Trợ giúp > Giới thiệu về Google Chrome.
Trình duyệt web cũng sẽ tự động kiểm tra các bản cập nhật mới và cài đặt chúng mà không yêu cầu người dùng tương tác sau khi khởi động lại.
Chi tiết cuộc tấn công chưa được tiết lộ
CVE-2023-2033 là lỗ hổng zero-day mức độ nghiêm trọng cao, liên quan đến lỗi type confusion nghiêm trọng trong JavaScript Chrome V8.
Lỗi được báo cáo bởi Clement Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG), với mục tiêu chính là bảo vệ khách hàng của Google khỏi các cuộc tấn công do nhà nước tài trợ.
Google TAG thường xuyên phát hiện và báo cáo các lỗi zero-day bị khai thác trong các cuộc tấn công có chủ đích cao của các tác nhân đe dọa do chính phủ tài trợ nhằm mục đích cài đặt phần mềm gián điệp trên thiết bị của những cá nhân có nguy cơ, bao gồm các nhà báo, chính trị gia đối lập và những người bất đồng chính kiến trên toàn thế giới.
Mặc dù các lỗi nhầm lẫn loại thường cho phép kẻ tấn công gây ra sự cố trình duyệt sau khi khai thác thành công bằng cách đọc hoặc ghi bộ nhớ ngoài giới hạn bộ đệm, nhưng các tác nhân đe dọa cũng có thể khai thác chúng để thực thi mã tùy ý trên các thiết bị bị xâm nhập.
Mặc dù Google cho biết họ biết về các lỗ hổng zero-day CVE-2023-2033 được sử dụng trong các cuộc tấn công, nhưng công ty vẫn chưa chia sẻ thêm thông tin về các sự cố này.
“Quyền truy cập vào các chi tiết lỗi và liên kết có thể bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản sửa lỗi”, Google cho biết.
“Chúng tôi cũng sẽ giữ lại các hạn chế nếu lỗi tồn tại trong thư viện của bên thứ ba mà các dự án khác cũng phụ thuộc vào, nhưng chưa được sửa.”
Người dùng Google Chrome nên nhanh chóng nâng cấp trình duyệt của và chặn các nỗ lực tấn công trước khi các chi tiết kỹ thuật được công bố, cho phép nhiều hacker phát triển cách khai thác mới.